Une application automatisée des correctifs aurait pu réduire considérablement la propagation du ransomware WannaCry, dont le coût atteindrait plus de 3,5 milliards d'euros.
WannaCry (aussi appelé WanaCrypt0r, WCry, ou encore Wannageddon), qui combine les caractéristiques d'un ransomware à une propagation de type ver informatique destiné aux systèmes d'exploitation Microsoft Windows, est la « pire épidémie de ransomware de l'histoire ».
Cependant, selon Jakub Křoustek, l'un des leaders de l'équipe de veille contre les cybermenaces d'Avast, elle aurait facilement pu être endiguée par une gestion efficace de l'application des correctifs. L'attaque, qui a débuté le 12 mai, a coûté à ses victimes près de 3,4 milliards d'euros.
La gestion automatique des correctifs représente la meilleure défense
Jakub Křoustek a précisé que plus d'un million d'utilisateurs d'Avast avaient rencontré le ransomware mais qu'ils étaient protégés car Avast a bloqué l'infection de leur ordinateur.
Notre produit Managed Workplace, plateforme de prestation de services simplifiée et centralisée disponible par l'intermédiaire d'AVG Business par Avast, offre un service automatisé de gestion des correctifs et du réseau qui protège les réseaux de confiance de nos utilisateurs contre toute attaque.
Comment WannaCry procède-t-il ?
Selon l'équipe Computer Emergency Readiness United States, le ransomware est parvenu à infecter les serveurs des entreprises en exploitant une vulnérabilité de Windows SMB. Microsoft a publié une mise à jour de sécurité pour la vulnérabilité MS17-010 le 14 mars et des correctifs le 13 mai pour Windows XP, Windows 8 et Windows Server 2003.
Initialement détecté au mois de février, WannaCry changeait l'extension des fichiers affectés en .WNCRY. Ils apparaissaient sous le format original_name_of_file.jpg.WNCRY, par exemple.
Les fichiers chiffrés étaient aussi marqués en début de fichier par la chaîne WANACRY!. Jakub Křoustek indique que le ransomware, disponible en 28 langues, ciblait principalement la Russie, l'Ukraine et Taïwan, mais qu'il a aussi touché des institutions importantes comme les hôpitaux britanniques, l'entreprise Renault, et le géant des télécommunications espagnoles, Telefónica.
Combien les pirates ont-ils gagné ?
Le groupe responsable de l'attaque demandait une rançon d'environ 300 à 600 dollars mais le montant augmentait au fil du temps. La menace du ransomware d'effacer toutes les données chiffrées si la somme n'était pas payée dans un délai de sept jours était fausse, ajoute Jakub Křoustek.
Avast recommande de ne pas payer la rançon car il n'existe aucune garantie que vos fichiers soient déchiffrés et le paiement encourage les auteurs de ransomwares à lancer de nouvelles campagnes.
Une récupération difficile
Il n'est pas aisé de tout remettre en état après l'attaque. Tout logiciel antivirus digne de ce nom parvient à éliminer le ransomware en mettant les fichiers malveillants en quarantaine mais les fichiers restent chiffrés et le chiffrement utilisé semble être très efficace (AES-128 combiné avec RSA-2048).
Jakub Křoustek vous conseille de récupérer vos fichiers à partir d'une sauvegarde sur un ordinateur non infecté où tous les correctifs auront été appliqués et de le faire en mode hors connexion, pour éviter tout risque de chiffrement du stockage de sauvegarde.
Tenez-vous prêt pour la prochaine fois... car il y aura une prochaine fois
WannaCry représente une nouvelle démonstration de la croissance des cybermenaces qui va de pair avec celle de la numérisation des entreprises et de l'utilisation des objets connectés (IoT) et de l'intelligence artificielle, déclare Jeff Pollard, l'analyste principal de Forrester.
« La sécurité implémentée à titre accessoire constitue une blessure auto-infligée qui peut s'avérer fatale pour les entreprises et les institutions ».
La communauté professionnelle de la cybersécurité mettait en garde contre une attaque de ransomware du type de celle de WannaCry depuis longtemps, rappelle l'expert de la cybersécurité Jon Oltsik, d'Enterprise Strategy Group.
Il précise que l'application des correctifs continue à être l'une des principales activités du personnel des services IT et sécurité et qu'elle semble s'avérer compliquée. Il a entendu dire que « l'application de ce correctif était particulièrement complexe et qu'elle aurait pu ralentir les opérations ».
Les ransomwares et autres cyberattaques ne peuvent devenir que plus virulents au fur et à mesure de la diffusion plus large et plus approfondie de la transformation numérique, de la mobilité et de l'utilisation des objets connectés (IoT).
Une application systématique et contrôlée des correctifs, notamment en utilisant la plateforme Managed Workplace d'Avast et la création méthodique de copies de sauvegarde sont en mesure de réduire les risques et d'accroitre la sécurité.
Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, n’oubliez pas de nous suivre sur Facebook, Twitter et Google+.
Image : medithIT