WannaCry , pourquoi ?

Depuis 24h, le ransomware WannaCry s’est activé et commence a paralyser beaucoup de sociétés.

Il se base sur la faille EternalBlue, corrigé en mars dernier par Microsoft (MS-17-10).

L’exploit de cette faille a été mis en avant par les révélations de ShadowBroker, lors des leaks de la NSA. Cet exploit transitant par les protocole SMB et RDP, il est assez simple de les contenir. Un scan est d’ailleurs disponible a cette adresse : https://github.com/countercept/doublepulsar-detection-script

Cependant aujourd’hui on s’aperçoit que ce virus, transmis très majoritairement par mail, bloque des productions informatiques, des entreprises, et des systèmes de santé comme le British Health Comp. , et c’est là que je commence a me poser des questions.

Microsoft a meme sorti, devant l ampleur de l’attaque, un patch pour les versions non supportées de windows XP, 2003… Pourquoi cette mise a jour critique, bénéficiant d’un bulletin critique de l’ANSII, n’a pas été priorisée chez des groupes tels que Renault ? Pourquoi des systemes ultra-critiques comme le systeme de santé anglais comporte encore des windows 2003, clairement plus supportés…

Fait interessant, Malwaretech a detecté un mechanisme de sécurité du virus, qui se connecte a un nom de domaine, et si ce domaine repond alors le virus stoppe sa propagation. Malwaretech a donc acheté ce domaine, et les requetes SMB d’infections semblent etre a présent stoppées, ce qui ne decrypte bien entendu pas les fichiers. Pour cela les vilains pirates réclament l’equivalent de 300$ en bitcoins..on ce jour a 17h on avait deja constaté 70 payements 🙂

Plus d’info ici : https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html