Sírni akar

Sírni akar

A fertőzött országok becsült térképe. Információ
Az első verzió 2017. május 12
típus Számítógépes támadás

A WannaCry , más néven WannaCrypt , WanaCrypt0r 2.0 vagy hasonló, önmagát replikáló ransomware típusú kártevő .

Ban ben 2017. májusEz során egy hatalmas globális számítógépes támadás, érintő több mint 300.000 számítógépet, több mint 150 országban, főként Indiában , az Egyesült Államok és Oroszország , valamint az elavult rendszer Windows XP és általában véve az összes korábbi verziók a Windows 10 nem miután elvégezte a biztonsági frissítéseket, különösen a 2017. március 14 (MS17-010. számú biztonsági közlemény).

Ezt a kibertámadást az internetes történelem legnagyobb hamisító váltságdíjának tekintik, az Europol betűkészlet-irodája "soha nem látott szintnek" nevezte és hozzátette, hogy "mindenképpen váltságdíjat kell".

A támadás által érintett legfontosabb szervezetek között különösen a Vodafone , a FedEx , a Renault , a Telefónica , a Nemzeti Egészségügyi Szolgálat , a Liège-i Egyetemi Kórház , az orosz Belügyminisztérium és a Deutsche Bahn társaságokat találjuk .

Ez a rosszindulatú program az NSA által kihasznált és az Shadow Brokers , egy hackerek csoportja által ellopott EternalBlue biztonsági lyukat használja . Hónap óta kijavították ezt a hibát2017. márciusa Microsoft az MS17-010-en keresztül a Patch Kedd részeként .

Erről a vírusról ismét beszéltek a 2017. június 23a Honda autóipari csoport egyik gyárában , Japánban , Sayamában , és ez öt nappal egy másik nagy globális kiber támadás, a NotPetya kezdete előtt következik be .

A támadás

Kontextus

Az első fertőzések Spanyolországban vagy az Egyesült Királyságban voltak, majd órákon belül a világ többi részére terjedtek. Az első este a feltételezett szennyezések száma 100 000 Windows rendszer volt . Úgy tűnik, hogy a vírus első nyomai az előző februárra nyúlnak vissza. Néhány vállalat úgy döntött, hogy leállítja a szennyezett gyártósorokat, hogy megpróbálja megállítani a terjedést.

Az Egyesült Királyság Nemzeti Egészségügyi Rendszere (NHS) a ransomware egyik fő áldozata. Ötven NHS-kórház, vagyis 20% -uk aggódik. Több tízezer számítógépük van, amely még mindig használja a Windows XP rendszert .

Késleltetni lehetett a vírus terjedését egy meghatározott domain név , egy killswitch regisztrálásával , amit egy brit kutató meg is tett . Ez lenne a biztonság, amelyet maguk a szoftver fejlesztői terveztek. A vírus addig terjed, amíg a fent definiált domain nevet nem regisztrálják, de ebben az esetben a szaporítási lépést gátolják. Arról volt szó iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Ez a haladék rövid ideig tartott, mivel a vírus ettől kezdve alkalmazkodott. Legalább két másik változat hamarosan elterjedt, amelyek közül az egyik nem tartalmazta a domain név biztonságát. A második változat egyikéből eredő domain név ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.comugyanazzal az utótaggal rendelkezik. Számos más "megszakítót" fokozatosan azonosítottak. Tartalmaz egy automatikus újraindítást is a végrehajtás megszakadása esetén. Hasonlóképpen, a felhasználó munkafájljainak titkosítása mellett a szoftver módosítja a rendszer köteteit annak érdekében, hogy beavatkozhasson az időben nem aktiválódó vírusokba.

A BBC szerint ez a vírus az elégedetlenség kifejeződése Donald Trump politikájával . Néhány újságíró kapcsolatban áll azzal, hogy az Apple 2015-ben az egyik terrorizmusellenes nyomozás során megtagadta az érzékeny technikák megosztását az NSA-val.

Jellemzők

A legtöbb számítógépes vírushoz hasonlóan ez a vírus a helyi hálózaton és az interneten keresztül terjed, szennyezett mellékleteken keresztül, amelyeket nagyszámú e-mail küld bot boton keresztül . Ez a tézis ellentmondásos, mert nem találtak nyomot ezeknek az e-maileknek: „Mindenki keresi azt a híres kezdeti e-mailt, és négy nap alatt egyetlen csapatnak sem sikerült a kezébe adnia. » Vincent Nguyen, a Wavestone vezetője, a CERT-Wavestone felelőse.

A kutatók egy második tézist állítottak, amelyek szerint az egyszerűen az internethez kapcsolódó mézes edényeik nagyon gyorsan szennyeződtek. Ezért önmagát replikálja.

Az összes ransomware közös, a szennyeződés bekövetkeztével a vírus titkosítja az érintett számítógép összes fájlját, és váltságdíjat mutat be a felhasználó számára.

Ezután úgy terjed, hogy más veszélyeztetett számítógépekhez csatlakozik, teljesen autonóm módon. Úgy tűnik, hogy a Linux operációs rendszer, amely részben magában foglalja a Samba protokollt , nem célzott.

Ezt a ransomware- t a támadásának sebessége jellemzi, és világszerte több százezer gépet érint egy hétvégén. A támadási gyakoriság másodpercenként legalább egy kísérlet volt, és 226 800 IP-cím volt hozzárendelve az erősségéhez  . Hasonlóképpen, úgy tűnik, hogy nem tesztelési fázisokról volt szó, hanem inkább előzetes vizsgálati időszakról. Így sem a bűnszervezet , sem az állami (vagy államilag támogatott) támadás nyomai nem kizártak. Az Europol szerint egyetlen ország sem célzott különösebben.

A kért váltságdíj itt is bitcoin- összeg, viszonylag alacsony, 300 és 600 dollár közötti érték  . Eleinte 300, majd három nap után 600-ra emelkedik, ha a felhasználó még mindig nem fizetett, az adatokat hét nap múlva törlik. Az elkövetők a fertőzések nagy számára támaszkodnak. Normál esetben, miután a váltságdíjat kifizették, a hackerek által birtokolt titkosítási kulcs feloldja a számítógépet, de nincs garancia. Valójában az elemzett kód azt mutatja, hogy a fájlok visszafejtése kézi beavatkozást igényel a bűnözők részéről.

A szakértők ezért azt állítják, hogy még ha a váltságdíjat is fizetik, a felhasználóknak nem sok esélyük van arra, hogy fájljaikat visszafejtsék és helyreállítsák. Hasonlóképpen, eddig nem észleltek sikeres fájl-helyreállítást. Mivel a bitcoin tranzakciók nyilvánosak, a bűnözők a támadás idején 51,92 bitcoinot, vagyis több mint 95 000 dollárt kaptak volna  . Twitter- robotot hoztak létre annak érdekében, hogy bemutassák ennek az összegnek a növekedését.

Reakciók és következmények

Tekintettel az ügyfelekre és üzleti vállalkozásokra gyakorolt ​​potenciális hatás nagyságára, a Microsoft kivételesen elérhetővé tette a biztonsági frissítéseket a már nem fenntartott platformok, azaz a Windows XP , a Windows 8 és a Windows Server 2003 számára . A cég azt állítja, hogy a Windows 10 nem érintett. Brad Smith  (en) , a cég vezetője az ilyen típusú esetekben a hírszerző ügynökségek felelősségére mutat, és reméli, hogy ez tudatosítja őket felelősségükben: "Ez a támadás új példát mutat be a probléma szemléltetésére. kormányzati kiskapu tárolása ” .

Franciaországban a párizsi ügyészség kirívó nyomozást bízott meg az információs és kommunikációs technológiákkal kapcsolatos bűnözés elleni küzdelem központi irodájával "csalárd hozzáférés és karbantartás automatizált adatfeldolgozó rendszerekben", "e rendszerek működésének akadályozása" és „Zsarolás és zsarolási kísérlet. Az Európai Rendőrségi Hivatal, az Europol is dolgozik ezen az ügyön. Ez a támadás állítólag több tízmillió dolláros kárt okozott.

Azoknak az internethasználóknak, akik látták, hogy a számítógépük fertőzött, megtartják a titkosított fájlok másolatát. Valójában lehetséges, hogy a kutató később megtalálja a módját annak megfejtésére.

Svájcban az Információbiztonsági Központi Nyilvántartási és Elemző Központ szerint az internetes támadás csaknem 200 gépet fertőzött meg országszerte.

Néhány nappal később egy második nagyszabású kibertámadás, az Adylkuzz , több százezer számítógépet ütött meg; ugyanazokat a biztonsági lyukakat használja ki, mint a WannaCry. Aztán a2017. június 27, egy másik nagyszabású kibertámadás, a NotPetya több százezer számítógépet érintett, kihasználva ezeket a sebezhetőségeket is.

Nyomozás és gyanú

A kutatás a " beteg nulla  " -ot, az első fertőzött számítógépet vizsgálja  .

Bár meglehetősen nehéz meghatározni a támadás eredetét, a számítógépes biztonsággal foglalkozó kutatók kommunikáltak az Észak-Koreával való valószínű kapcsolatról . Neel Nehta mérnök, informatikus, a Google vállalat munkatársa olyan forráskódrészeket töltött fel , amelyek bizonyítják bizonyos hasonlóságokat az új vírus és az ázsiai országnak tulajdonított újabb hack-sorozatok között. Az észak-koreaiak hackerei a gyanú szerint a (z) Lazarus csoportba  tartoznak , miután 2007-ben megjegyezték, amint azt Kaspersky elmondta.

Más kutatók is kapcsolatba léptek a kínai hackerekkel. A Flashpoint szakértői 28 különböző nyelven elemezték a WannaCry váltságdíjas üzeneteket. Eredményeik azt mutatják, hogy a hackerek folyékonyan beszélnek kínaiul, akiknek az üzenete nyelvtanilag jobban felépített és több információt tartalmaz. A többi fordítást az angol (súlyos nyelvtani hibát tartalmazó) üzenetből és a Google Fordítóból szerezték be . A kollektív Lazarus Csoportra  (en) utaló programdarabokat csak a hackerek nyomainak elfedése érdekében lehetett volna beültetni a rosszindulatú programba .

2017 augusztusában Malwaretech brit kutatót, aki segített a vírus leállításában, letartóztatták Las Vegasban, ahol a Def Con-nál volt. A letartóztatás azonban nem kapcsolódik a WannaCry-hez, hanem más banki tranzakciós információ-lopási szoftverre vonatkozik. Ez a letartóztatás ellentmondásos az interneten a jogvédők közösségében: az Elektronikus Határ Alapítvány ügyvédeket mozgósított a hacker jogainak érvényesítésére és letartóztatásának valódi okának kiderítésére.

Vírusirtás szoftverrel

Három francia, számítógépes biztonsági szakértőből álló csoport kifejlesztette a Wanakiwi nevű szoftvert , amely egy eszköz a zárolt adatokhoz való hozzáférés helyreállításához. Ez a szoftver Windows XP , Windows Vista és Windows 7 rendszereken működik , és az Európai Rendőrségi Hivatal Europol jóváhagyta .

Mint sok ransomware, a WannaCry két kulcsot generál az adatok titkosításához. Az egyik nyilvános , a másik privát . A rosszindulatú program telepítése után maga a titkos kulcs is titkosítva van. A vírus a Windows kriptográfiai funkcióit használja e kulcsok előállításához, de ezek a funkciók rövid ideig beírják a titkosítatlan titkos kulcsot a számítógép RAM - ba . Így sikerült létrehozni ezt a szoftvert, amely képes megszerezni ennek a magánkulcsnak a nyomait a fájlokhoz való hozzáférés feloldása érdekében.

A csoport reagálásra szólít fel, mert „ez a memória hét nap után automatikusan kiürül”. Ezenkívül a megoldás működése érdekében az érintett számítógépeket nem szabad újraindítani a fertőzés után, mivel a RAM ingatag. A Wanakiwi az esetek 60% -ában működik Windows XP rendszert futtató gépeknél. Windows 7 rendszeren a sikerarány jelenleg stagnál, 10%.

Számos segédprogramot építettek, amelyek lehetővé teszik a védelmet a biztonsági megsértésekkel szemben, köztük a WannaSmile, amely letiltja a sebezhetőség által használt Windows rendszerek egyes funkcióit, és a WannaPatch, a francia SysStreamingből, amely felismeri, hogy egy rendszer sérülékeny-e, és ha igen. ez az eset, amely lehetővé teszi a megfelelő javítás azonnali letöltését.

Megjegyzések és hivatkozások

  1. (hu-USA) „  Ügyfél útmutató a WannaCrypt támadásokhoz  ” , MSRC ,2017. május 12( online olvasás , konzultáció 2017. május 13-án )
  2. "  Amit tudunk erről a hatalmas internetes támadásról globális szinten  ", La Tribune ,2017( online olvasás , hozzáférés : 2017. május 14 )
  3. "  Boróka: A WannaCry technikai adatai  ", InformatiqueNews.fr ,2017. május 14( online olvasás , hozzáférés : 2017. május 14 )
  4. "  Ransomware: A tisztítás folytatódik a WannaCry Chaos után  ", ZDNet France ,2017( online olvasás , hozzáférés : 2017. május 18 )
  5. "  WannaCry: A ransomware készen áll a bolygóra  " Computer World ,2017( online olvasás , konzultáció 2017. május 15-én ).
  6. "  Cyberattack WannaCry: mit kell tudni a világot megrázó ransomware- ről  ", Futura ,2017( online olvasás , konzultáció 2017. május 15-én ).
  7. "  WannaCry, az internetet bénító ransomware  " , a clubic.com címen (hozzáférés : 2017. május 15. ) .
  8. "  Wannacry: Frissítés a 4. napon  ", InformatiqueNews.fr ,2017. május 15( online olvasás , konzultáció 2017. május 15-én ).
  9. Arnaud : „  WannaCry: A Microsoft a hétvégi hatalmas támadás után a kormányokat okolja | Szelet42  ”, Szelet42 ,2017. május 15( online olvasás , konzultáció 2017. május 15-én ).
  10. "  Check Check Shows Global Map of WannaCry Ransomware Infection  " , a Global Security Mag Online oldalról (Hozzáférés : 2017. május 18. )
  11. "  WannaCry: a fertőzés lelassulása ellenére a kiber támadás továbbra is aggasztó  ", La Tribune ,2017( online olvasás , hozzáférés : 2017. május 18 )
  12. „  WannaCry: Egy példátlan Ransomware támadás  ” , a Programon! (megtekintve 2017. május 14-én )
  13. (hu-GB) Chris Graham, „Az  NHS kibertámadása: Minden, amit tudnod kell a történelem legnagyobb„ ransomware ”offenzívájáról  ” , The Telegraph ,2017. május 13( online olvasás , konzultáció 2017. május 13-án ).
  14. Kiber támadás : Europol háborús alapon - Amerika - RFI  " , Rfi.fr,2017. március 29(megtekintve 2017. május 15-én )
  15. "  Wannacry Ransomware  " , az europol.europa.eu oldalon (hozzáférés : 2017. május 19. )
  16. Nathalie Guibert, Damien Leloup és Philippe Bernard (londoni tudósító) : "  Egy hatalmas kibertámadás blokkolja a számítógépeket több tucat országban  ", a Le Monde.fr ,2017. május 13( ISSN  1950-6244 , online olvasás , hozzáférés : 2017. május 13. )
  17. "  WannaCry: boncolásos ransomware 2.0 , az NSA által kihasznált szilícium hatására  " ,2017. május 13( online olvasás , hozzáférés : 2017. május 14 ).
  18. "  Cyber ​​támadás: tudjon meg mindent a WannaCry-ről, amely több ezer számítógépet pusztított  ", PhonAndroid ,2017. május 15( online olvasás , konzultáció 2017. május 15-én )
  19. "  Miért okoz ekkora kárt a WannaCry ransomware ?"  ", Factory-digitale.fr ,2017( online olvasás , konzultáció 2017. május 15-én ).
  20. „  Global cyberattack: hogyan ez a 22 éves brit sikerült korlátozni a kár mértékének  ” LCI ,2017( online olvasás , hozzáférés : 2017. május 14 ).
  21. (in) "  WannaCry - Új variánsokat észleltünk! - Comae Technologies  ” , Comae Technologies ,2017. május 14( online olvasás , hozzáférés : 2017. május 14 )
  22. WannaCry ransomware  : kórházak és üzemeltetők túszul ejtettek, több mint 100 ország érintett  ", Tom's Hardware ,2017. május 13( online olvasás , hozzáférés : 2017. május 14 ).
  23. "  WannaCry: Miért van jogában az Apple megtagadni az együttműködést az FBI-val  ", PaperGeek ,2017. május 15( online olvasás , konzultáció 2017. május 15-én )
  24. „  Számítógépes támadás: jól védettek-e a francia kórházak?  », Franceinfo ,2017. május 15( online olvasás , konzultáció 2017. május 15-én )
  25. RTL Newmedia , "A  hatalmas számítógépes támadás eléri a világot: Mit nevezünk WackCry-nek ez a hacknek, és mit tesz a Microsoft annak ellensúlyozására?"  ", RTL Info ,2017( online olvasás , hozzáférés : 2017. május 14 )
  26. "  WannaCry: a ransomware, amelyre már nincs szükség adathalászatra  ", Szilícium ,2017. május 15( online olvasás , konzultáció 2017. május 15-én ).
  27. (in) "  WannaCry megbetegedésekre vonatkozó adatok (május 12. május 2017 2017-19)  " A GitHub ,2016. augusztus 26(megtekintve : 2018. február 27. )
  28. "  Bitcoin címet 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94  " , a blockchain.info (elérhető május 19, 2017 )
  29. "  Bitcoin címet 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw  " , a blockchain.info (elérhető május 19, 2017 )
  30. "  Bitcoin címet 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn  " , a blockchain.info (elérhető május 19, 2017 )
  31. "  morb (@ m0rb) | Twitter  ” a twitter.com- on (hozzáférés : 2017. május 15. ) .
  32. „  Kiber támadás: A Microsoft reakciója a WannaCry | -re IT-részleg - Hírek  ” , a www.directioninformatique.com oldalon (konzultáció 2017. május 15-én ) .
  33. "  WannaCry: hírszerző ügynökségek a forró ülésen  ", lesechos.fr ,2017. május 15( online olvasás , konzultáció 2017. május 15-én )
  34. “  https://lanouvelletribune.info/2017/05/wannacry-lappel-de-microsoft-agences-de-rseignement/  ” ( ArchívumWikiwixArchive.isGoogle • Que faire? ) (Hozzáférés : 2017. július 8.) ) .
  35. "  cyberattack - Wannacry: Microsoft fellebbezését hírszerző ügynökségek  " La Nouvelle Tribune ,2017. május 15( online olvasás , konzultáció 2017. május 15-én )
  36. "  A"  rançongiciel  "Wannacry kevéssé érintette Svájcot  ," Time " ,2017. május 15( online olvasás , konzultáció 2017. május 16-án ).
  37. Új nagyszabású kibertámadás van folyamatban .
  38. Figaro webhelye, a kiber támadás oldala .
  39. "  WannaCry: Támadás Észak-Koreából?"  » , A Clubic-on ,2017. május 16
  40. (in) "A  lobbanáspont-szakértők úgy vélik, hogy a WannaCry szerzői kínai nyelven beszélnek egy nyelvi elemzés után  " a biztonsági ügyekről ,2017. május 26(megtekintve 2017. június 9. )
  41. Alfred Ng , "  A banki vírus létrehozásával vádolt WannaCry hőse  ", ZDNet France ,2017. augusztus 4( online olvasás , konzultáció 2017. augusztus 4-én )
  42. "  Az Egyesült Államokban letartóztatott WannaCry globális internetes támadás" hőse  " , Le Figaro ,2017. augusztus 4
  43. "  gentilkiwi / wanakiwi: Automated wanadecrypt kulccsal helyreállítás, ha szerencsés  " , GitHub (elérhető május 20, 2017 )
  44. 01net "  WannaCry: Tüneti talált ... Köszönet a Windows Gap  ", 01net ,2017. május 19( online olvasás , hozzáférés : 2017. május 19 )
  45. "  cyberattack: három francia nép létrehozott anti WannaCry szoftver  ", leparisien.fr ,2017. május 19( online olvasás , hozzáférés : 2017. május 19 )
  46. indrajeetb , "  Egy egyszerű eszköz a WannaCry Ransomware elleni védelemhez  " (hozzáférés : 2017. május 22. )
  47. SysStreaming , „  Nagyon egyszerű és ingyenes eszköz a WannaCry / WannaPatch hibák felderítésére és a rendszerek javítására, ha a hibát észlelik  ” ( ArchívumWikiwixArchive.isGoogle • Que faire? ) (Hozzáférés : 2017. május 22. )

Lásd is

Külső linkek

Kapcsolódó cikkek