Wannacry, la backdoor de la NSA dans Windows exploitée à grande échelle.

Wannacry est un ransomware qui a infecté environ 75 000 machines à travers le monde. De nombreux pays sont touchés incluant la Russie, l’Ukraine, les Etats-Unis, l’Inde, Taiwan, l’Afrique et une partie de la France. Etant donné que la Fédération de Russie est la plus touchée, cela  ne m’étonnerait pas que Wannacry provienne d’un autre Etat. Il y a une carte qui montre les infections en temps réel.

C’est quoi, Wannacry ?

Wannacry utilise un exploit utilisé par un ensemble d’outils de la NSA qui s’appelle Eternalblue. La NSA a utilisé Eternalblue pendant des années jusqu’à ce que les hackers connus comme les Shaow Brokers mettent la main sur de nombreux outils de piratage de la NSA. Après avoir tenté de vendre les outils aux enchères, Shadow Brokers les a simplement balancé sur le web.

Le genre de message qu'on obtient si on est infecté par le Ransomware Wannacry
Le genre de message qu’on obtient si on est infecté par le Ransomware Wannacry

Si vous êtes touché Ransomware Wannacry, remerciez la NSA !

Wannacry est le résultat de cet outil de la NSA, mais les pirates lui ont ajouté un piment spécial avec un Payload qui se réplique automatiquement et qui se transmet de machine en machine sans aucune intervention de l’utilisateur. Dans les autres Ransomwares, pour que vous soyez infecté par un Ransomware, il fallait que vous cliquiez sur une pièce jointe dans un mail ou que vous téléchargiez une saloperie d’un site malveillant. Ce n’est plus nécessaire avec Wannacry qui se propage automatiquement. On ignore encore le premier vecteur du Ransomware, mais heureusement, des chercheurs ont pu suspendre un nom de domaine qui a aidé dans la propagation virale.

Mais si Wannacry doit quand même se transmettre d’une certaine manière non. En fait, les premières pistes suggèrent que c’est lié à une absence de sécurité dans les réseaux des grandes organisations, notamment les parcs informatiques et c’est pourquoi, de grandes entreprises sont touchés à travers le monde et on peut citer Fedex, le NHS (le service de santé publique au Royaume-Uni), l’entreprise de telecom Telefonica en Espagne, l’université de Waterloo, le Ministre de l’intérieur de Russie, une station de train à Francfort, le réseau ferroviaire de l’Allemagne  ainsi que des télecoms portugais.

Plus précisément, WannaCrypt infecte les PC Windows avec un ver qui se propage à travers les réseaux en exploitant une faille du protocole SMB (Service Message Block) qui utilisé pour partager des fichiers et des imprimantes sous Windows. Il utilise un bug que Microsoft a corrigé en mars 2017, mais ce correctif est uniquement valable pour les versions modernes de Windows. Les ordinateurs sous Windows XP sont la principal cible et le parc information des grandes organisations continuent toujours de tourner sous Windows XP à cause du cout colossal pour renouveler l’infrastructure.

Comme on l’a mentionné, le Ransomware intégrait un Kill Switch que les chercheurs ont utilisé pour stopper la propagation sinon on peut dire que des millions de PC dans le monde auraient été infecté.

Le plus grand coupable est la NSA

Les pirates vont toujours tenter de développer des Ransomwares de plus en plus sophistiqués, mais les vrais fils de pute sont la NSA qui ont utilisé cet exploit pendant des années et qu’ils ne l’ont jamais corrigé. Il a fallu attendre mars 2017 pour que Microsoft corrige le machin. En sachant que Microsoft collabore avec la NSA depuis 2010 en intégrant des Backdoors dans Skype. Donc, la complicité de Microsoft est également manifeste.

Ce Ransomware Wanna Cry est déjà très développé, car il est disponible en plusieurs langues et il utilise également Doublepulsar, un autre outil de la NSA pour contrôler des machines à distance de manière anonyme.

Merci également aux médias !

Quand Shadow Brokers a publié les outils de la NSA, les médias de masse ont systématiquement minimisé leur importance en estimant que pff, les failles ont été corrigé depuis longtemps. Voilà une phrase que seuls des débiles profonds pourraient sortir en ayant une mentalité tellement étroite en pensant que le monde entier peut s’acheter des machines de guerre en mettant à jour leur système. Les médias et les prétendus blogueurs zinfluents ne comprennent pas qu’il y a d’excellentes raisons pour lesquelles Windows XP refuse de mourir. Cette minimisation systématique a été manifeste lorsqu’on a eu les fuites des outils de piratage de la CIA. Et maintenant, ces mêmes médias nient totalement leur responsabilité. S’il avait bien couvert le piratage des Shadow Brokers, alors peut-être qu’on aurait pu réduire les dégats.

On va encore blamer les utilisateurs de ne pas protéger leurs systèmes, mais à la base, c’est la NSA qui est responsable. Est-ce qu’on doit blamer les victimes des armes à feu sous prétexte qu’elles n’avaient pas à se mettre sur la trajectoire de la balle. De plus, les conseils de protection contre les Ransomwares sont totalement inefficaces avec Wannacry puisqu’il se propage tout seul comme un grand sans aucune intervention de l’utilisateur. Les utilisateurs devraient passer à des systèmes plus sécurisés, mais il est de la responsabilité de certains crétins de ne pas créer de telles saloperies à la base.

Comment se protéger du ransomware Wannacry ?

Passez à Linux !

Plus sérieusement, il faut absolument désactiver la norme SMB1 qui est obsolète. On peut le faire facilement à partir de Windows 8.1 et Windows Server 2012 R2 comme dans l’image suivante. Sur Windows 8.1, il faut passer par la désinstallation des programmes dans le panneau de configuration.

Désactiver la norme SMB1 pour se protéger du Ransomware Wannacry
Désactiver la norme SMB1 pour se protéger du Ransomware Wannacry sur Windows 8.1
Désactiver la norme SMB1 pour se protéger du Ransomware Wannacry sur Windows Server 2012 R2
Désactiver la norme SMB1 pour se protéger du Ransomware Wannacry sur Windows Server 2012 R2

Pour une sécurité supplémentaire, vous pouvez aussi bloquer les ports SMB 139 et 445 pour les connexions entrantes. Si votre système est vraiment ancien (genre Windows 7 ou Windows XP), alors vous devez vous déconnecter du réseau local si votre machine est dans un parc informatique, car c’est via le réseau que Wannacry se propage. Microsoft propose même des solutions contre Wannacry sur Windows XP (Les liens se trouvent tout en bas  de l’article, mais ils ont dû mal à fonctionner à cause de la saturation des serveurs). Cela inclut une mise à jour de sécurité qu’il propose normalement avec son support personnalisé.

Les 3 conseils pour se protéger du Ransomware Wannacry

  • Appliquez les mises à jour suivantes : MS17-010 et MS17-012 (Mais en réalité, appliquez toutes les mises à allant de MS17-010 jusqu’à MS17-023, mais les deux ci-dessus concernent principalement les failles de SMB).
  • Bloquez les ports SMB 139 et 445
  • Evitez d’utiliser votre réseau local dans la mesure du possible

Source : https://housseniawriting.com/forum/topic/comprendr-le-ransomware-wannacry/

Add a Comment