L’homme qui a freiné la propagation du logiciel malveillant qui a infecté 150 pays a 22 ans


 

Il semble que le logiciel de rançon qui a affecté plusieurs pays dont des hôpitaux, des entreprises et des groupes a freiné sans propagation grâce à un jeune de 22 ans en Angleterre. Le plus insolite, c’est qu’en regardant de quoi il s’agissait, il a fait un geste, pour voir ce qui se passerait. Cependant, il se peut que le nombre d’ordinateurs infectés augmentent lundi.
Nuage

L’homme qui a freiné la propagation du logiciel malveillant qui a infecté 150 pays a 22 ans

 

Abstract image of a virus | Yuri Samoilov via Flickr CC License by

Abstract image of a virus | Yuri Samoilov via Flickr CC License by

Repéré par Mélissa Bounoua

Il se fait désigner uniquement par son pseudo MalwareTech –le nom de son blog et de son compte Twitter @MalwareTechblog. Ce chercheur cybersécurité du sud-ouest de l’Angleterre n’a que 22 ans, c’est pourtant lui qui a arrêté la propagation du logiciel malveillant de type «rançongiciel» –l’ordinateur infecté affiche un message demandant à l’utilisateur une rançon en monnaie virtuelle pour le débloquer.

 Il a 200.000 ordinateurs dans plus de 150 pays. Nommé WanaCrypt0r 2.0, il exploite une faiblesse de Windows et a déjà paralysé le réseau de téléphonie espagnol Telefonica, le service de livraisons FedEx aux États-Unis et une partie des hôpitaux aux Royaume-Uni qui n’ont plus eu accès aux dossiers des patients. Le ministère de l’Intérieur russe déclare avoir 1.000 ordinateurs infectés.

MalwareTech a accidentellement trouvé, avec l’aide d’un ami, Darien Huss, le moyen d’actionner un mécanisme d’autoblocage, en trouvant l’adresse d’un site internet dans le code du logiciel. Le logiciel malveillant tentait de se connecter à ce site pour diffuser. En se rendant compte que le nom de domaine était à vendre, MalwareTech l’a simplement acheté, ce qui a déclenché le mécanisme d’urgence prévu par les créateurs du logiciel pour stopper la propagation.

Voir l’image sur Twitter

Voir l'image sur Twitter

 

Malwaretech travaille pour Kryptos logic, une entreprise basée à Los Angeles spécialisée en renseignements et détaille au Guardian:

«Je déjeunais avec un ami,  je suis rentré à 15h et j’ai vu plusieurs articles sur la NHS [le système de santé anglais] et à propos d’autres institutions touchées», raconte-t-il au Guardian. «J’ai regardé un peu de quoi il retournait,  j’ai vu un modèle de virus derrière et j’ai compris qu’il se connectait à un domaine spécifique, qui n’était pas utilisé. Donc je l’ai acheté, ne sachant pas ce que cela ferait à ce moment-là.»

Il ne se doutait pas en effet qu’il venait de trouver le moyen d’arrêter la progression. Cela lui a coûté 10,69 dollars (9,77 euros).

«Mon but était simplement de surveiller la propagation et voir si on pourrait faire quelque chose plus tard. Mais on a vraiment arrêté la diffusion en achetant le domaine», continue-t-il. «Mais les heures qui ont suivi ont été intenses en émotions. Au départ, quelqu’un a évoqué l’idée que nous avions causé l’infection en achetant le domaine, donc on a un peu flippé jusqu’à ce qu’on réalise que c’était l’inverse et qu’on l’avait bien stoppé.»

Il explique qu’il a trouvé son premier emploi à la sortie du lycée sans véritables qualifications. Il n’est pas allé à l’université, a commencé à écrire des logiciels et un blog sur les nouvelles technologies.

«Ça a toujours été un hobby pour moi, je suis autodidacte. J’ai fini par avoir un job en créant un traqueur d’attaques de bots, la compagnie pour laquelle je travaille l’a remarqué, m’a contacté et m’a demandé si je cherchais un emploi. Cela fait un an et deux mois que j’y travaille.»

MalwareTech était en vacances au moment de l’attaque, raconte-t-il sur son blog, il a finalement bien fait d’écourter sa semaine pour se pencher sur ce logiciel malveillant ce vendredi 12 mai. Si les ordinateurs déjà infectés le sont toujours, cela a évité que le virus se propage à une centaine de milliers d’autres machines, d’après lui.

Alors que la semaine va recommencer, la peur est que beaucoup d’employés allument leur ordinateur qu’ils soient infectés. Le directeur d’Europol, Rob Wainwright, s’en inquiète auprès du Guardian:

«Les chiffres augmentent. J’ai peur qu’ils continuent quand les gens vont se rendre au travail et allumer leur machine lundi matin. 200.000 personnes dans 150 pays sont infectées, selon le dernier bilan. Beaucoup d’entreprises, y compris des grands groupes.»

http://www.slate.fr

Publicités

Ce que vous devez savoir sur les "logiciels de rançon"


C’est le point le plus négatif d’internet que des pirates informatiques envoient des virus, des logiciels de rançon comme ce fut le cas, vendredi dernier qui a affecté nombres d’institutions et d’entreprises. Ce qu’il faut aussi savoir, c’est que cela peut même affecter des particuliers que ce soit sur l’ordinateur, tablettes et smartphone. Il faut être prudent quand on clique sur des liens. Et avoir un anti-virus à jour ainsi et savoir quoi faire si cela nous arrive
Nuage

 

Ce que vous devez savoir sur les « logiciels de rançon »

 

Les logiciels de rançon, utilisés dans la vague de cyberattaques qui a touché plusieurs dizaines de pays dans le monde, sont devenus au fil des années l’un des outils préférés des pirates informatiques. Comment fonctionnent-ils et comment s’en prémunir? Qu’est-ce qu’un « logiciel de rançon »?

Les « logiciels de rançon« , ou « ransomware », sont des logiciels malveillants qui verrouillent les fichiers informatiques et forcent leurs utilisateurs à verser une somme d’argent, souvent sous forme de monnaie virtuelle, pour en recouvrer l’usage.

Ces dispositifs, parfois qualifiés de « rançongiciels », sont utilisés aussi bien sur les PC que sur les tablettes et les smartphones. Ils touchent « à la fois les particuliers, les entreprises et les institutions », rappelle à l’AFP Amar Zendik, PDG de la société de sécurité Mind Technologies.

Comme cela fonctionne-t-il?

Les pirates informatiques prennent en général le contrôle des ordinateurs en exploitant les failles d’internet. Cela peut passer par la consultation par la victime d’un site web préalablement infecté ou par l’ouverture d’un email invitant à cliquer sur un lien ou à télécharger une pièce jointe.

En quelques secondes, le logiciel malveillant peut alors s’implanter.

« Quand il s’installe, il n’a pas de charge virale et ne peut pas être détecté », explique à l’AFP Laurent Maréchal, expert en cybersécurité chez McAfee: ce n’est qu’ensuite qu’il « télécharge le ‘payload’, c’est-à-dire la charge virale », ajoute-t-il.

Dès lors, le poste de travail se trouve chiffré… et donc bloqué.

« Le plus souvent, l’utilisateur doit envoyer un SMS », bien entendu payant, « pour obtenir un code de déblocage », détaille M. Maréchal, qui précise que l’infection, dans certains cas complexes, peut se propager « sans intervention humaine ».

Leur utilisation est-elle fréquente?

Oui. Et le phénomène ne cesse de s’amplifier. Selon l’éditeur de logiciels de sécurité Kapersky Lab, 62 nouvelles familles de « ransomwares » ont été répertoriées l’an dernier. Et d’après McAfee, le nombre de d' »échantillons » détectés a grimpé de 88% en 2016, pour atteindre le chiffre de quatre millions.

A l’origine de ce succès: le retour sur investissement des « rançongiciels », jugé élevé par les pirates.

« Souvent, les pirates demandent de petits montants. Mais accumulés, ces petits montants font de grosses sommes », explique Amar Zendik.

Un avis partagé par Laurent Maréchal, qui rappelle que les « ransomware » sont « faciles à se procurer« . « Sur le ‘darkweb’ (nb: partie obscure de l’internet, non référencée dans les moteurs de recherche classiques), les particuliers peuvent acheter des ransomware prêts à l’emploi, parfois pour seulement 150 dollars », insiste-t-il.

Pourquoi l’attaque de vendredi a-t-elle été si massive?

Selon les premiers éléments de l’enquête, les auteurs de cette cyberattaque ont réussi à exploiter une faille dans le systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.

« On a affaire une attaque de type ‘zero day’, s’appuyant sur une faille jusque-là inconnue », souligne Amar Zendik, qui explique l’ampleur du piratage par l’outil impliqué (Windows, un système d’exploitation incontournable) mais aussi par la stratégie des pirates, sans doute motivés par la malveillance.

« On n’est pas sur un ‘ransomware’ classique, qui vise en général des particuliers ou des petites entreprises. Là, les pirates se sont attaqués à des grandes institutions, peu susceptibles de payer, surtout vu la publicité faite à l’opération », rappelle le spécialiste, qui penche pour une attaque menée par « hackers ».

« A priori, les auteurs de l’attaque ne souhaitaient pas récupérer de l’argent, mais plutôt faire un coup », ajoute-t-il.

Comment se prémunir d’une telle opération?

Plusieurs règles simples peuvent être suivies pour réduire les risques d’infection, dans le cas de cette cyberattaque comme pour l’ensemble des « ransomware ».

Parmi elles: l’application régulière des mises à jours de logiciels de sécurité, qui permettent de corriger les failles exploitées par les virus.

En cas d’incident, les autorités conseillent par ailleurs de déconnecter immédiatement du réseau les équipements infectés, afin de les isoler. Dans le cas d’un virus touchant une entreprise ou une institution, il convient par ailleurs d’alerter au plus vite les responsables informatique.

Les autorités comme les éditeurs de logiciels recommandent par ailleurs expressément aux entreprises et aux particuliers de ne pas payer de rançon.

« Cela ne garantit pas que l’accès aux données sera restauré », a prévenu le ministère américain de la Sécurité intérieure dans un communiqué

http://www.7sur7.be

Une attaque informatique de portée mondiale suscite l’inquiétude


Un rançongiciel monstre attaque plusieurs pays dont des hôpitaux, qui mettent des patients en danger. Il semble que c’est la NASA qui aurait découvert cette cyberattque, mais n’aurait pas prévenu au moment voulu et cela aurait peut-être pu éviter qu’environs 100 pays soient affectés
Nuage

 

Une attaque informatique de portée mondiale suscite l’inquiétude

 

Les autorités américaines et britanniques ont mis en garde vendredi contre une vague de cyberattaques simultanées qui a touché des dizaines de pays dans le monde, à l’aide d’un logiciel de rançon, et conseillé de ne pas payer les pirates informatiques.

Ceux-ci ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.

«Aujourd’hui nous avons assisté à une série de cyberattaques contre des milliers d’organisations et d’individus dans des dizaines de pays», a indiqué dans un communiqué l’agence britannique de cybersécurité (NCSC) qui recommande de mettre à jour ses logiciels de sécurité et ses antivirus.

«Nous avons reçu de multiples rapports d’infection par un logiciel de rançon», a écrit le ministère américain de la Sécurité intérieure dans un communiqué. «Particuliers et organisations sont encouragés à ne pas payer la rançon, car cela ne garantit pas que l’accès aux données sera restauré».

Cette vague d’attaques informatiques de «portée mondiale» suscite l’inquiétude des experts en sécurité. Le logiciel verrouille les fichiers des utilisateurs et les force à payer une somme d’argent sous forme de bitcoins pour en recouvrer l’usage: on l’appelle le «rançongiciel».

«Nous avons relevé plus de 75 000 attaques dans 99 pays», a noté vers 20H00 GMT Jakub Kroustek, de la firme de sécurité informatique Avast, sur un blogue.

Forcepoint Security Labs, autre entreprise de sécurité informatique, évoque de son côté «une campagne majeure de diffusion de courriels infectés», avec quelque 5 millions de courriels envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r.

Des organisations en Espagne, en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique ont également été touchées selon des analystes. Aux États-Unis, le géant de livraison de colis FedEx a reconnu avoir lui aussi été infecté.

Le ministère russe de l’Intérieur a également annoncé avoir été touché par un virus informatique vendredi, même s’il n’a pas été précisé s’il s’agit bien de la même attaque.

Ces attaques informatiques ont notamment touché le service public de santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays.

«À ce stade, nous n’avons pas d’élément permettant de penser qu’il y a eu accès à des données de patients», a voulu rassurer la direction du service public de santé britannique.

L’attaque a toutefois sérieusement désorganisé des dizaines d’hôpitaux, contraints d’annuler certains actes médicaux et de renvoyer des ambulances vers d’autres établissements.

«Nous sommes conscients que ces attaques sur des services d’urgence ont un lourd impact sur les patients et leurs familles et nous mettons tout en oeuvre pour remettre en route ces services vitaux», a indiqué le NCSC.

Des images ont été partagées sur les réseaux sociaux avec des écrans d’ordinateurs du NHS demandant le paiement de 300 dollars en bitcoins avec la mention: «Oups, vos dossiers ont été cryptés».

Le paiement doit intervenir dans les trois jours, ou le prix double, et si l’argent n’est pas versé dans les sept jours les fichiers piratés seront effacés, précise le message.

Microsoft a publié un correctif de sécurité il y a quelques mois pour réparer cette faille, mais de nombreux systèmes n’ont pas encore été mis à jour.

Selon la société Kaspersky, le logiciel malveillant a été publié en avril par le groupe de pirates «Shadow Brokers», qui affirme avoir découvert la faille informatique par la NSA.

«Contrairement à des virus normaux, ce virus se répand directement d’ordinateur à ordinateur sur des serveurs locaux, plutôt que par courriel», a précisé Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid. «Ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un courriel ou clique sur un lien».

«Des logiciels de rançon sont particulièrement vicieux quand ils infectent des institutions comme des hôpitaux, où la vie de patients est mise en danger», a repris M. Kroustek, analyste d’Avast.

«Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l’ont « découverte », plutôt que quand elle leur a été volée, ça aurait pu être évité», a regretté sur Twitter Edward Snowden, l’ancien consultant de l’agence de sécurité américaine qui avait dévoilé l’ampleur de la surveillance de la NSA en 2013.

http://www.tvanouvelles.ca/