Wannacry: la Suisse évite le pire… pour cette fois!

Wannacry est un virus de la famille des ransomwares. La première infection répertoriée remonte au vendredi 12 mai 2017. En quelques jours, des centaines de milliers d’endpoints ont été infectés dans plus de 150 pays d’après un premier bilan d’Europol. Il s’agit de l’infection la plus massive jamais enregistrée. heureusement, la Suisse a été relativement épargnée comparé à ses voisins.

 

Wannacry est un ransomware très intriguant car de nombreuses informations sont encore inconnues à son sujet. Cet article s’attarde sur les éléments connus du ransomware et dresse un état de la situation en Suisse.

Qui est impacté ?

Tous les systèmes Windows (avant Windows 10) non patchés pour la vulnérabilité MS17-010 sont susceptibles de se faire infecter par le ransomware. Les entreprises sont d’autant plus impactées puisque le ransomware est capable de se répandre latéralement sur le réseau interne et que le cycle d’application des correctifs est plus long. Le ransomware ne semble pas avoir de cible particulière.

Que fait Wannacry ?

Wannacry chiffre des fichiers sur le poste utilisateur et demande ensuite qu’une rançon soit payée pour récupérer l’accès aux fichiers pris en otages. Il demande le paiement de 300 USD en bitcoins au moment de l’infection.

Après trois jours, le ransomware double le montant et demande 600 USD. Après sept jours sans paiement, Wannacry supprime tous les fichiers chiffrés et vos données sont définitivement perdues. Des détails peuvent être trouvé sur cette page web.

 

 

Extensions de fichiers ciblés

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

Comment se répand le ransomware ?

De nombreux médias font état d’une infection par Phishing e-mail mais pour le moment, il n’y a aucune preuve tangible pour démontrer ce fait. Par contre, nous avons identifié des infections exploitant l’outil Eternal Blue sur les protocoles SMBv1 sur des machines Windows vulnérables qui sont directement exposées sur Internet. Ces informations sont corroborées par de nombreux éditeurs.

En plus d’infecter un système, le ransomware va exploiter Eternal Blue pour ses déplacements latéraux, lui permettant ainsi d’infecter d’autres systèmes vulnérables sur le même réseau informatique.

Le mode d’infection initial et les capacités de déplacement latéraux ont permis à Wannacry de se répandre extrêmement rapidement.

D’après les témoignages recueillis sur Internet, le ransomware serait capable de se propager en exploitant de nouveau “Eternal Blue” mais également vers des serveurs via des connexions Remote Desktop que la victime aurait lancé depuis son poste infecté.

Quelles sont les actions à prendre pour éviter l’infection ?

Plusieurs mesures immédiates sont recommandées :

  • Mettre à jour tous les systèmes Windows vulnérables à MS17-010,
  • Désactiver le protocole SMBv1 sur les OS et au niveau réseau via le firewall,
  • Mettre à jour les produits de sécurité (Anti-virus, IPS, catégorisation d’URLs, …),
  • Vérifier que le firewall personnel est activé,
  • S’assurer que les backups sont bien réalisés.

Il faut également s’assurer qu’aucun service SMBv1 et Remote Desktop ne soient accessibles depuis Internet. Il est préférable d’utiliser une solution VPN pour l’accès aux partages réseaux et aux machines via Terminal Server.

Bien que l’infection initiale ne semble pas avoir eu lieu au travers d’une campagne e-mail, il est préférable d’implémenter les protections adéquates sur les passerelles et les serveurs e-mail par mesure de prévention.

C’est également le bon moment pour lancer une campagne de sensibilisation des utilisateurs par e-mail ou via votre intranet afin de les avertir que des ransomwares circulent et de redoubler de vigilance lors de la consultation des sites web, des e-mails et l’ouverture des pièces jointes.

Que faire en cas d’infection ?

Aucune solution n’est actuellement disponible pour déchiffrer les données prises en otages. Les seules mesures possibles sont :

  • Isoler le système infecté et le déconnecter du réseau,
  • Restaurer les fichiers originaux avec le dernier backup.

Le paiement ou non de la rançon fait toujours débat. En tant qu’expert en sécurité informatique, nous recommandons évidemment de ne pas la payer pour ne pas alimenter les pirates et aussi car vous n’avez aucune garantie de pouvoir déchiffrer vos données après avoir payé la rançon.

Cependant, nous comprenons que certaines entreprises et particuliers souhaitent récupérer leurs données en payant la rançon de 300 USD à cause d’une mauvaise politique de backup par exemple. Dans ce cas, il faut être préparé aux méthodes de paiement via Bitcoin car cela n’est pas trivial et requiert du temps. Il vaut mieux y être préparé.

Des variantes du ransomware existent

Plusieurs éditeurs ont rapporté l’existence de variantes de Wannacry. Un jeune chercheur en sécurité a stoppé la première vague d’infections en enregistrant un domaine DNS identifié dans le code du malware. Ce domaine est qualifié de “kill-switch” puisque le malware se désactive s’il obtient une réponse à une requête sur ce domaine. Entre temps, d’autres variantes ont été publiées et propagées.

De plus, l’une d’elle est quasiment en tout point identique au virus original à l’exception du “kill switch” qui a été supprimé. La manière dont les choses ont été faites suggèrent qu’il ne s’agit pas de l’auteur de la version originale du malware mais plutôt d’un copieur. Cette variante est corrompue et permet uniquement de se propager en utilisant Eternal Blue mais ne permet pas de chiffrer les données du poste de l’utilisateur.

Quel est le statut en Suisse ?

D’après la centrale MELANI, le ransomware Wannacry a eu pour le moment un impact limité. Samedi, seuls 183 cas d’infections étaient répertoriés. Selon la centrale, 5’000 machines localisées en Suisse seraient directement connectées à Internet via le protocole SMB et donc vulnérables à cette attaque. Le nombre d’infections peut donc augmenter dans les jours qui suivent.

Pour se faire une idée de la situation en Suisse, nous avons utilisé l’outil SHODAN afin de déterminer combien de machines, localisées en Suisse, exposaient le port 445 (SMB) et le port 3389 (Remote Desktop).

Le résultat de notre analyse montre que près de 10 000 machines exposent ces ports en Suisse. SHODAN détecte des systèmes d’exploitations Windows Server 2008, XP, Windows Embedded qui sont des OS vulnérables et pour lesquels l’outil “Eternal Blue” est valide.

 

shodan rdp

7207 machines exposant le protocole RDP sont détectées en Suisse. Il semble y avoir une majorité de particulier mais également des entreprises qui publient des services Remote Desktop directement sur Internet. En analysant les systèmes d’exploitations détectés, nous remarquons une bonne concentration de Windows 7, 8, XP, 2003 Server et 2008 Server.

Pour rappel, le groupe “ShadowBrokers” a publié également un exploit du nom de EsteemAudit qui permet d’abuser d’une vulnérabilité Remote Desktop sur les OS Windows XP et 2003 Server pour installer et executer du code malicieux à distance.

Ces systèmes sont peut-être patchés contre les vulnérabilités MS17-010 mais sont malgré tout exposées sur Internet. Ils se présentent comme des cibles idéales pour les pirates.

Microsoft patch les OS non supportés

Windows XP, 8 et 2003 Server sont en fin de vie, depuis plusieurs années pour certains. La politique de Microsoft est de ne plus fournir de correctifs pour ces systèmes d’exploitation et recommandent l’upgrade des OS vers des versions supportées dont notamment Windows 10. Cependant, l’éditeur a dérogé à ses règles et publie donc un correctif pour les vulnérabilités MS17-010 que vous pouvez récupérer afin de vous mettre à jour au plus vite via l’un des liens suivants :

Indicateurs de compromissions (IOC)

L’éditeur McAfee a publié une analyse du comportement de WannaCry où il présente un certain nombre d’indices de compromissions. US-CERT et AlienVault ont également publié une liste d’IOC. Voici ce qu’il ressort de tous ces rapports:

Adresses IP:

  • 197.231.221.221:9001
  • 128.31.0.39:9191
  • 149.202.160.69:9001
  • 46.101.166.19:9090
  • 91.121.65.179:9001
  • 2.3.69.209:9001
  • 146.0.32.144:9001
  • 50.7.161.218:9001
  • 217.79.179.177:9001
  • 213.61.66.116:9003
  • 212.47.232.237:9001
  • 81.30.158.223:9001
  • 79.172.193.32:443
  • 38.229.72.16:443

Domaines:

  • iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
  • iuqerfsodp9ifjaposdfjhgosurijfaewrwergweb.com
  • iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • Rphjmrpwmfv6v2e.onion
  • Gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion
  • sqjolphimrr7jqw6.onion

Il est intéressant de noter qu’une bonne partie des domaines sont en *.onion, qui est donc un TLD utilisé pour les domaines hébergés dans le darknet et accessbles à travers le réseau anonyme Tor.

Noms de ficher:

  • @Please_Read_Me@.txt
  • @WanaDecryptor@.exe
  • @WanaDecryptor@.exe.lnk
  • Please Read Me!.txt
  • C:\WINDOWS\tasksche.exe
  • C:\WINDOWS\qeriuwjhrf
  • 131181494299235.bat
  • 176641494574290.bat
  • 217201494590800.bat
  • [0-9]{15}.bat
  • !WannaDecryptor!.exe.lnk
  • 00000000.pky
  • 00000000.eky
  • 00000000.res
  • C:\WINDOWS\system32\taskdl.exe
  • C:\Windows\mssecsvc.exe

Porte-monnaie Bitcoin:

  • 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
  • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
  • 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

MS17-010:

Un autre indicateur est l’exploitation des CVE CVE-2017-0144 par l’exploit MS17-010. Ce dernier utilise en effet une adresse mémoire fixe (0xffdff000) pour copier le payload. Pour rappel, cette vulnérabilité de type Remote Code Execution (RCE) impacte SMBv1 et permet à un attaquant d’exécuter un code arbitraire sur le serveur distant.

Hash de fichiers:

Un certain nombre de hash MD5 et SHA1 a aussi été publié par les différents rapport mentionnés plus haut. Etant donné qu’il y en a plusieurs centaines, nous n’allons pas les lister ici.

Wanakiwi: un outil pour déchiffrer les données

Des chercheurs en sécurité ont mis en ligne un outil permettant de déchiffrer les données prises en otages par le ransomware Wannacry. Le code source de l’outil est disponible sur github. L’outil fonctionne sur Windows XP, Windows 7, Windows Vista, Windows Server 2003 et 2008. Des explications complètes et une démonstration est disponible ici.

Conclusion

Wannacry est la conséquence directe des agissements de la NSA et de la publication de la fuite de données organisée par le groupe The ShadowBrokers. Ce ransomware marque un tournant historique dans l’histoire de par l’ampleur de l’infection et l’histoire des exploits utilisés.

Le code source est maintenant disponible. De nombreuses variantes vont certainement émerger et les dégâts risquent d’être à nouveau important puisque de nombreux systèmes vulnérables seront encore présents et directement accessibles depuis Internet dans plusieurs mois.

Les leçons à tirer de cette attaque sont :

  • Qu’une bonne stratégie de patching est primordiale et peut jouer un rôle décisif lors d’une attaque de ce type,
  • Qu’il ne faut pas exposer des machines Windows directement sur Internet (notamment SMBv1 et Terminal Services pour lutter contre la propagation de Wannacry).

Wannacry fait beaucoup parler de lui, mais pendant ce temps d’autres ransomwares se propagent et présentent une menace aussi grande voir supérieure à l’image du ransomware Jaff.

La lutte contre les ransomwares n’est pas terminée et c’est dans cette optique que nos équipes de R&D travaillent d’arrache pied sur la conception de solutions de sécurité innovantes et efficaces pour protéger le monde contre ces menaces.

Sources: