Deux ans après sa découverte, WannaCry est toujours actif et se décline en plus de 12 000 variantes

Le 12 mai 2017, des organisations du monde entier ont été attaquées par un logiciel malveillant à la propagation rapide, que nous appelons maintenant WannaCry. WannaCry est aujourd'hui considéré comme l'une des attaques de maliciel la plus importante et la plus dévastatrice de l'histoire. Cette attaque a été interrompue uniquement grâce à un chercheur qui en enregistrant un nom de domaine DNS intégré dans le code du maliciel a actionné de façon inattendue un bouton d'arrêt d'urgence. En effet, le virus se propageait tant que ce nom de domaine n'était pas enregistré, mais l'étape de propagation s'est inhibée dès que le domaine a été enregistré. Cependant plus de deux ans après, WannaCry continue d'affecter des milliers d'ordinateurs dans le monde entier. 

Les recherches de Sophos révèlent que, malgré la disponibilité de correctifs de sécurité et d'une protection antivirus contre WannaCry, plus de 12 000 variantes uniques existent dans la nature. Ces nouvelles variantes peuvent se propager plus efficacement et rester cachées plus longtemps que le WannaCry original. Il est à noter cependant que le mécanisme d’infection est toujours basé sur la vulnérabilité MS17-010 (EternalBlue) et que les machines à jour ne sont pas vulnérables à ces nouvelles versions du maliciel.

Les variantes de WannaCry que les chercheurs de Sophos voient se répandre dans la nature aujourd'hui sont des versions évoluées de l'original. Certaines ont muté pour supprimer le bouton d'arrêt d’urgence. Certaines se répandent plus efficacement, et ne chiffrent pas les fichiers restant ainsi cachées sur un réseau, attirants peu l'attention des utilisateurs ou des administrateurs.

Ces variantes sont encore capables de se répandre d'elles-mêmes sur des ordinateurs Windows qui n'ont pas été patchés.

  • 2 725 variantes de WannaCry ont contourné le mécanisme de bouton d'arrêt d'urgence ;
  • 476 parmi les nouvelles variantes représentent 98,8% des détections WannaCry ;
  • 11 parmi ces variantes sont responsables de plus de 4,3 millions d'attaques WannaCry ;
  • Le binaire original de WannaCry n'a été vu que 40 fois sur toutes les attaques.

Il est aussi à noter que les ordinateurs infectés bénéficient d'une caractéristique du logiciel malveillant qui cherche à éviter la duplication des efforts. En effet si un ordinateur infecté a déjà été infecté par une version de WannaCry (même une version corrompue), le maliciel ignorera l'ordinateur infecté, et passe à la prochaine victime.

Un ordinateur infecté par n'importe quel type de WannaCry est le symptôme d’une mauvaise gestion des mises à jour du SI.

Recommandations
+

La recommandation principale contre WanaCry reste d'appliquer le correctif de Microsoft corrigeant MS17-010 et de mettre à jour régulièrement les systèmes d'information. Sophos a publié un guide permettant de s’assurer que la mise à jour corrigeant la faille responsable (MS17-010) a bien été installée : https://community.sophos.com/kb/en-us/132107  .

Une liste des indicateurs de compromission (IoC) a également été publiée sur le Github de SophosLab https://github.com/sophoslabs/IoCs .

Les chercheurs de Sophos signalent également que payer la rançon aujourd’hui est inutile. Les attaquants d’origine ne regardent plus le compte Bitcoin associé et ne donnent plus les outils de déchiffrement.