L’épidémie du crypto-ransomware WannaCry a commencé le 12 mai 2017. Il a interrompu le travail des victimes en affichant le message suivant :
Tout de suite après, les victimes découvraient que tous leurs documents avaient été chiffrés, et que l’extension .wnry avait été ajoutée à toutes les extensions normales de fichiers comme .doc ou .mp3. Si l’utilisateur fermait la fenêtre sans avoir lu le message, le programme malveillant modifiait le fond d’écran du bureau et affichait le message suivant :
Pour déchiffrer les fichiers, le programme demandait d’effectuer un virement de 300 dollars en Bitcoin vers le portefeuille des cybercriminels. Ce montant est ensuite monté à 600 dollars. En un jour, le ver s’est rapidement répandu sur Internet et a infecté plus de 200 000 systèmes dans le monde entier, touchant les ordinateurs des particuliers et les réseaux des entreprises : hôpitaux, sociétés de transport, services bancaires et opérateurs téléphoniques. Le géant taïwanais de la puce électronique, TSMC, a dû suspendre sa production à cause d’une infection de masse des appareils de l’entreprise.
Comment est-ce arrivé ?
C’est grâce aux vulnérabilités du protocole SMB (Server Message Block) de Windows que WannaCry a pu se propager si rapidement. Ce protocole permet le partage de fichiers sur un réseau local. Si le patch n’avait pas été installé sur l’ordinateur, les vulnérabilités permettaient l’exécution d’un code arbitraire en envoyant une demande via le protocole SMBv1. Il s’agit d’une vieille version de SMB utilisée depuis le début des années 90. Depuis 2006, les versions par défaut du protocole de Windows étaient SMBv2 ou ultérieures, mais l’assistance de l’ancien protocole existait encore pour des raisons de compatibilité pour les ordinateurs qui exécutaient l’ancien logiciel.
Lorsque le problème a été détecté et que des mises à jour ont été publiées en mars 2017 (environ deux mois avant l’apparition de WannaCry), les vulnérabilités SMBv1 affectaient toutes les versions non corrigées du système d’exploitation, de Vista au tout dernier Windows 10. Les anciennes versions de Windows XP et Windows 8 étaient aussi menacées. Microsoft a publié un patch pour Windows XP, même si l’entreprise avait officiellement arrêté son assistance en 2014. L’exploit qui profitait des vulnérabilités de SMBv1 était connu comme EternalBlue, pour des raisons qui méritent que l’on en parle à un autre moment.
Vous devriez d’abord connaître un autre nom de code : DoublePulsar. Il s’agit du nom du code malveillant utilisé pour créer une porte dérobée dans le système pris pour cible. L’exploit EternalBlue et la porte dérobée DoublePulsar ont été rendus publics par le groupe anonyme ShadowBrokers en mars et avril 2017, respectivement. Avec d’autres outils malveillants, ils avaient soi-disant été dérobés à une division de la National Security Agency des États-Unis. Le ver WannaCry exploitait ces deux composants : il a d’abord acquis la capacité d’exécuter un code malveillant grâce à l’exploit EternalBlue, puis il s’est servi d’une version personnalisée de DoublePulsar pour lancer la charge malveillante afin de chiffrer les fichiers et d’afficher la demande de rançon.
En plus de chiffrer les fichiers, WannaCry communiquait avec le serveur C2 des cybercriminels grâce au réseau anonyme Tor, et se propageait en envoyant des demandes malveillantes à des adresses IP choisies au hasard. C’est ce qui a permis à ce virus d’avoir un taux de distribution particulièrement élevé, avec des dizaines de milliers de systèmes infectés chaque heure !
Un interrupteur d’urgence
Ce même jour, le 12 mai, le blogueur jusqu’alors inconnu MalwareTech a minutieusement étudié le code de WannaCry. Il a découvert l’adresse <very_long_nonsensical_set_of_characters>.com dans le code. Le nom du domaine n’était pas enregistré, donc MalwareTech l’a inscrit à son nom, en partant du principe que les ordinateurs infectés utiliseraient cette adresse pour communiquer avec les serveurs C2. Au lieu de cela, il a interrompu sans le vouloir l’épidémie WannaCry.
Même si le 12 mai au soir, après l’enregistrement du domaine, WannaCry infectait encore des ordinateurs, il ne chiffrait plus les données. En réalité, le programme malveillant accédait au domaine et, s’il n’existait pas, chiffrait les fichiers. Étant donné que le domaine était disponible, pour une quelconque raison, toutes les parties du programme malveillant ne faisaient plus d’efforts. Pourquoi les créateurs ont-ils choisi un système si simple pour tuer le ransomware ? Selon MalwareTech, il s’agissait d’une tentative ratée qui cherchait à leurrer l’analyse automatique de la sandbox (bac à sable).
L’exécution en mode bac à sable fonctionne de cette façon : un programme malveillant est exécuté dans un environnement virtuel isolé afin d’analyser en temps réel son comportement. Cette procédure courante est généralement faite manuellement par des analystes de virus ou automatiquement. L’environnement virtuel est conçu de façon à permettre au programme malveillant de s’exécuter entièrement et de révéler tous ses secrets aux chercheurs. Si le programme malveillant demande un fichier, le bac à sable fait croire que le fichier existe. S’il accède à un site en ligne, l’environnement virtuel peut simuler une réponse. Peut-être que les auteurs de WannaCry pensaient qu’ils pourraient se montrer plus malins que l’analyse du bac à sable. Si le ver accédait à un domaine qui n’existait pas mais obtenait une réponse, alors la victime n’était pas réelle et l’activité malveillante devait être cachée.
Ils n’avaient probablement pas prévu que le code du ver serait désactivé en trois heures seulement, et que le nom de son domaine » secret » serait découvert et enregistré.
MalwareTech : le cybercriminel qui a sauvé Internet
MalwareTech avait de bonnes raisons de ne pas révéler sa véritable identité. Son nom est Marcus Hutchins. Il n’avait que 23 ans lorsque WannaCry est apparu. Alors qu’il était encore au lycée, il a commencé à fréquenter les mauvaises personnes, comme on dit, et à passer du temps sur des forums impliqués dans la cybercriminalité. Un de ses péchés a été l’écriture d’un programme qui volait les mots de passe du navigateur. Il a aussi créé un programme pour infecter les utilisateurs via les sites de torrent et s’en est servi pour construire un vaste botnet de 8000 bots.
Au début des années 2000, un acteur plus important l’a remarqué et l’a invité à écrire une partie du programme malveillant Kronos. Pour son travail, Marcus recevait une commission sur chaque vente sur le marché gris : d’autres cybercriminels achetaient le programme pour lancer leurs propres attaques. Hutchins a révélé qu’il avait donné son vrai nom et l’adresse de son domicile au Royaume-Uni à des complices au moins à deux reprises. Les forces de l’ordre américaines ont reçu ces informations.
L’homme qui avait sauvé Internet n’était plus anonyme. Deux jours plus tard, les journalistes frappaient à sa porte : la fille d’un des journalistes était allée à la même école que Marcus et savait qu’il utilisait le pseudonyme MalwareTech. Dans un premier temps, il a essayé de ne pas parler à la presse, mais a accepté de donner une interview à l’agence Associated Press. En août 2017, désormais en tant qu’invité d’honneur, il participait à la célèbre conférence sur la cybercriminalité DEF CON organisée à Las Vegas.
C’est là qu’il a été interpellé. Après avoir passé plusieurs mois en détention à domicile et après avoir partiellement reconnu les accusations liées à Kronos, Hutchins s’en est sorti avec une condamnation avec sursis. Lors d’un entretien avec le magazine Wired, il a expliqué que son passé criminel était une regrettable erreur : il ne l’avait pas vraiment fait pour l’argent. C’était plutôt pour montrer de quoi il était capable et pour obtenir la reconnaissance de cette communauté illégale. Au moment de WannaCry, cela faisait deux ans qu’il n’était plus en contact avec les cybercriminels et son blog MalwareTech était lu et admiré par des experts.
Était-ce la dernière épidémie ?
Nous avons récemment rédigé un article sur le virus ILOVEYOU, qui a provoqué une épidémie beaucoup plus importante au début des années 2000. Il y avait beaucoup de points communs avec WannaCry : ces deux vers se propageaient grâce à une vulnérabilité Windows qui avait pourtant été corrigée. La mise à jour n’avait pas été installée sur tous les ordinateurs au moment de l’infection. Ainsi, des centaines de milliers d’appareils étaient touchés partout dans le monde, avec des dégâts qui s’élevaient à des millions de dollars pour les entreprises et la perte des données utilisateur.
Il y avait aussi des différences. Les créateurs de WannaCry, soi-disant un groupe en Corée du Nord, avaient utilisé des outils de piratage standards déjà disponibles sur le domaine public. ILOVEYOU ne supprimait que quelques fichiers alors que WannaCry demandait une rançon aux utilisateurs pour qu’ils puissent récupérer les documents chiffrés. Heureusement, les auteurs de WannaCry ont été trop aimables en intégrant un interrupteur d’urgence qui fonctionnait contre eux. L’histoire de cette épidémie reflète aussi le génie des chasseurs de programmes malveillants qui arrivent à s’approprier l’œuvre d’une autre personne, à l’analyser en un rien de temps et à développer un mécanisme de défense.
Des dizaines d’entreprises ont étudié l’épidémie WannaCry et cet indicent a attiré l’attention des médias, ce qui est une exception à la règle. Il est peu probable que l’attaque d’un ransomware contre une entreprise fasse la une de nos jours. En réalité, c’est tout le contraire puisque vous serez seul face à votre bourreau. Ainsi, il est crucial d’impliquer des experts dans les opérations de contrôle des dégâts et de ne pas céder au chantage. Comme l’histoire de WannaCry l’a montré, même une attaque sophistiquée et efficace peut avoir un talon d’Achille.