Vendredi 12 mai 2017, une cyberattaque de type rançongiciel se propage rapidement au niveau mondial et touche plus de 300 000 ordinateurs en quelques heures, dans plus de 150 pays.
Connu sous les noms de WanaCry, Wcry, WanaCrypt, Wanna Decryptor, ce ver tire parti d’une vulnérabilité informatique (SMB (CVE-2017-0148) corrigé par Microsoft en mars) utilisée par l’exploit « EternalBlue », un des outils logiciels d’espionnage crée par les Américains.
Dérobé à la NSA, puis diffusé le 14 avril 2017 par le groupe de hackers « The Shadow Brokers », cet outil est ensuite repris et modifié par des cybercriminels.
Vendredi 12 mai 2017, une cyberattaque de type rançongiciel se propage rapidement au niveau mondial et touche plus de 300 000 ordinateurs en quelques heures, dans plus de 150 pays.
Connu sous les noms de WanaCry, Wcry, WanaCrypt, Wanna Decryptor, ce ver tire parti d’une vulnérabilité informatique (SMB (CVE-2017-0148) corrigé par Microsoft en mars) utilisée par l’exploit « EternalBlue », un des outils logiciels d’espionnage crée par les Américains.
Dérobé à la NSA, puis diffusé le 14 avril 2017 par le groupe de hackers « The Shadow Brokers », cet outil est ensuite repris et modifié par des cybercriminels.
Lieu
150 pays
FAMILLE
Ransomware
ATTRIBUTION
État
COMPLEXITÉ
Moyenne
Il faut attendre la découverte par hasard d’un « kill switch » dans le code pour amorcer un ralentissement de la propagation du ver.
De son côté Marcus Hutchins (connu sous le pseudonyme de MalwareTech), Britannique de 22 ans expert en cybersécurité, remarque qu’un nom de domaine permet aux créateurs de WannaCry de stopper sa diffusion à distance. Il le dépose pour se l’approprier. Une fois activé, ce nom de domaine est connecté un DNS sinkhole, sorte de trou noir qui subira très rapidement des attaques DDOS de 20Go/s .
Dès le lendemain, une autre version du malware sort. Matthieu Suiche, hacker et entrepreneur français basé à Dubaï, empêche 10 000 machines, connectées dans 76 pays différents, de répandre WannaCry.
Bizarrement le système de paiement et de gestion de clés semble être très mal codé, ce qui explique le peu d’argent récolté par les hackeurs : environ 100 000 dollars.
Il faut attendre la découverte par hasard d’un « kill switch » dans le code pour amorcer un ralentissement de la propagation du ver.
De son côté Marcus Hutchins (connu sous le pseudonyme de MalwareTech), Britannique de 22 ans expert en cybersécurité, remarque qu’un nom de domaine permet aux créateurs de WannaCry de stopper sa diffusion à distance. Il le dépose pour se l’approprier. Une fois activé, ce nom de domaine est connecté un DNS sinkhole, sorte de trou noir qui subira très rapidement des attaques DDOS de 20Go/s .
Dès le lendemain, une autre version du malware sort. Matthieu Suiche, hacker et entrepreneur français basé à Dubaï, empêche 10 000 machines, connectées dans 76 pays différents, de répandre WannaCry.
Bizarrement le système de paiement et de gestion de clés semble être très mal codé, ce qui explique le peu d’argent récolté par les hackeurs : environ 100 000 dollars.
« Nous menons des opérations contre environ 200 cyberattaques par an mais nous n’avions encore jamais rien vu de tel. »Rob Wainwright,
Directeur d’Europol
Cette cyberattaque mondiale est exceptionnelle de par sa vitesse de propagation.
Voici quelques chiffres :
- 150 pays touchés
- 300 dollars de rançon par machine
- 300 000 postes infectés
- 20 000 stations-service déconnectées
- 179 types de fichiers chiffrés
- Traduit en 27 langues
- Exploitation du port 445
- Environ 100 000 $ récoltés
Cette cyberattaque mondiale est exceptionnelle de par sa vitesse de propagation.
Voici quelques chiffres :
- 150 pays touchés
- 300 dollars de rançon par machine
- 300 000 postes infectés
- 20 000 stations-service déconnectées
- 179 types de fichiers chiffrés
- Traduit en 27 langues
- Exploitation du port 445
- Environ 100 000 $ récoltés