En janvier 2016, nous avions déjà publié un article sur les ransomwares en expliquant que grâce à des serveurs anonymes sur internet (Tor hidden services), une monnaie non réglementée (bitcoin) et des API cryptographiques ouverts (MS-CAPI), les criminels avaient tous les outils pour pouvoir prendre en otage des données (en les cryptant) pour ensuite demander une rançon.
Le vendredi 12 mai 2017, un nouveau ransomware (Wanna Decrypt0r alias, WannaCry, WannaCrypt) est apparu infectant en une journée plus de 150’000 ordinateurs.
Dans cet article nous allons comprendre les origines de ce malware et donner des recommandations pour se protéger (et pour avoir une bonne cyber-hygiène). Vous pouvez aussi écouter mon Interview sur la BBC à ce sujet
Tout a en fait commencé en octobre 2016 lorsque la NSA suspecte une personne interne d’avoir volé des outils de hacking que l’agence utilisait pour mener ses opérations d’espionnage. En mars 2017 Microsoft patch 4 vulnérabilités critiques (MS17-010) sans indiquer la source qui les a découvertes et dans un contexte très inhabituel. En avril 2017, le groupe de hackeurs The Shadow Brokers publie les outils de hacking volés à la NSA, dont des outils qui exploitent les vulnérabilités patchées en mars 2017. Finalement, en mai 2017, le ransomware Wanna Decrypt0r utilise les vulnérabilités décrites dans MS17 pour se propager.
Avant d’aller dans les détails de Wanna Decrypt0r et sur la façon de se protéger efficacement, je souhaiterai un peu parler de la responsabilité de la NSA et de Microsoft.
La NSA a deux missions essentielles qui ne sont pas toujours faciles à combiner. Premièrement, elle doit superviser, recenser, et traiter les données d’intelligence (SIGINT) ; deuxièmement, elle doit protéger le pays (USA) contre des cyber-attaques.
La NSA investit beaucoup de moyens pour découvrir des nouvelles vulnérabilités (qui peuvent être utilisées dans des cyber-attaques et pour de l’espionnage). Une fois une vulnérabilité découverte, la NSA doit choisir si elle va les utiliser pour sa première mission afin de faire de l’espionnage ; ou pour sa seconde mission et de la communiquer à l’industrie pour qu’elle soit corrigée (patchée). Il est difficile de savoir exactement quel est le processus interne utilisé par la NSA pour prendre cette décision, mais elle repose généralement sur la question « est-ce que quelqu’un d’autre aurait pu découvrir cette vulnérabilité ». Si c’est le cas, la NSA devrait la divulguer, sinon elle va l’utiliser pour ces opérations d’espionnages.
Mis dans ce contexte, on peut maintenant mieux comprendre ce qui s’est passé. La NSA a découvert des vulnérabilités qu’elle a décidé d’utiliser dans ces opérations d’espionnage (en partant du principe que personne d’autre ne connaissait son existence). Une fois que la NSA a su que ces données avaient été volées, elle a dû pivoter et avertir l’industrie (Microsoft en l’occurrence) de la vulnérabilité afin qu’elle puisse être réparée. Ainsi Microsoft a pu publier un correctif pour cette vulnérabilité un mois avant qu’elle soit rendue publique par The Shadow Brokers.
Il y a néanmoins une réelle obscurité concernant les liens entre l’industrie et les services de renseignement. Il y a de fortes suspicions que certaines entreprises préviennent les services de renseignement concernant des vulnérabilités avec quelques semaines ou mois avant même qu’elles ne soit corrigées : ainsi, la CIA, NSA etc. peuvent l’utiliser pour leurs opérations d’espionnage.
Par exemple, le premier mai, Intel a dévoilé une vulnérabilité critique qui permet de prendre le contrôle complet d’un ordinateur à distance. Si l’on regarde l’activité sur internet (grâce à des pots de miel) on peut voir que deux mois avant la publication des vulnérabilités certaines personnes étaient en train de tenter des attaques.
Il y a de fortes chances que Intel ait donné l’information concernant cette vulnérabilité aux services de renseignement afin qu’ils puissent l’exploiter pendant quelques mois avant qu’elle ne soit publiquement corrigée.
Pourquoi le ransomware Wanna Decrypt0r est-il différent des autres ?
Le vecteur d’infection d’origine est similaire à un ransomware classique : un système est infecté par un email, une pièce jointe, un lien, un site web infectée ou un Drive-by download. Le ransomware va communiquer avec son C&C pour obtenir une clef de cryptage et crypter les documents.
Là où Wanna Decrypt0r diffère des autres, c’est par ce qu’il se propage comme un vers. Il utilise donc les vulnérabilités MS17-010 pour se déployer et infecter des serveurs SMB sur le réseau. Une fois le serveur infecté, il peut exécuter du code privilégié pour infecter toutes les autres stations de travail sur le réseau. Ainsi un ordinateur infecté peut quasi instantanément infecter toute une entreprise.
Comment faire pour se protéger ?
Voici quelques éléments que nous recommandons pour vous protéger de Wanna Decrypt0r, mais qui sont valables de façon générale :
- Les emails doivent être correctement marqués comme phishing et spam lorsque c’est le cas.
- Les pièces jointes doivent être ouvertes dans une chambre à détonation avant le transfert aux destinataires.
- Les liens/URL doivent être vérifiés (par le service email et/ou firewall) pour valider leur légitimité.
- Il faut aussi avoir une solution de protection adaptée aux menaces actuelles telles que l’antivirus nouvelle génération Invincea. (Ici nous avons, en plus, un excellent exemple de la raison pour laquelle il est essentiel de mettre un antivirus sur un serveur et pas uniquement sur les stations de travail.)
- Il faut mettre ses systèmes systématiquement à jour. La propagation rapide du ransomware (et l’infection des serveurs) s’effectue à travers une vulnérabilité qui est corrigée depuis plus de deux mois.
- La vulnérabilité exploite le protocole SMB1, pourtant il existe des protocoles plus récents et sécurisés tels que SMB2.1 et SMB3. Afin de diminuer la surface d’attaque, c’est une bonne pratique de désactiver les anciens protocoles, surtout s’ils ne sont plus utilisés.
- Pour empêcher qu’un backup puisse être effacé par un système infecté, il faut qu’il soit en lecture seule, ainsi une restauration est possible sans risquer de perdre le backup lorsqu’un système avec les droits d’écriture est infecté.
ZENData déploie pour ces clients des solutions de sécurité en profondeur afin de les protéger contre ce genre de menace. N’hésitez pas à nous contacter pour un premier RDV gratuit.