Il est possible que l'attaque sans précédent menée vendredi par le ransomware dénommé Wanna Decryptor ou WannaCry a cessé de se propager et d’atteindre de nouvelles machines - au moins brièvement - grâce à un « kill switch », un « interrupteur de destruction », activé presque machinalement par un chercheur en sécurité. Le ransomware qui a infecté des milliers de machines partout dans le monde exploite une vulnérabilité de Windows peut-être utilisée par l'Agence de sécurité nationale américaine, la NSA, à des fins d’espionnage.

Après avoir crypté les données sur le PC infecté, le malware affiche une demande de rançon réclamant aux utilisateurs de payer 300 dollars en bitcoins s’ils veulent récupérer la clef de décryptage de leurs fichiers. Des images de cette demande de rançon circulent sur Twitter. Les experts en sécurité ont repéré des dizaines de milliers d'attaques qui se propagent, semble-t-il, par les réseaux LAN locaux et via Internet comme le ferait un ver informatique. Mais le ransomware contient aussi un commutateur de destruction qui, selon les chercheurs en sécurité, s’est peut-être retourné contre les auteurs du malware.

Un kill switch secret 

Le programme malveillant utilisé par WannaCry pour infecter les systèmes commence par se connecter à un domaine Web non enregistré. Apparemment l'interrupteur fonctionne de la façon suivante : si le programme malveillant ne peut pas se connecter au dit domaine, il infectera le système dans lequel il s’est introduit. Mais, si la connexion réussit, le programme stoppe la procédure d'attaque. Un chercheur en sécurité, connu sous le pseudo MalwareTech, a constaté qu'il pouvait activer le « kill switch » en enregistrant le domaine Web à son nom et en publiant une page sur le Net. L’idée de départ de MalwareTech était de suivre la propagation du ransomware dans le domaine auquel il se connectait. « Mais, il est apparu que l'enregistrement du domaine a stoppé la propagation de l'infection », a-t-il déclaré par courriel à nos confrères d’IDG NS.

WannaCry

La demande de rançon affichée par le ransomware Wanna Decryptor. (Crédit : Michael Kan)

L’entreprise de sécurité Malwarebytes et les experts en sécurité de Cisco Talos ont signalé les mêmes effets et ont confirmé que le ransomware semblait beaucoup moins actif depuis que l'interrupteur de destruction avait été activé. Cependant, le chercheur de Malwarebytes Jérôme Segura a déclaré qu'il était trop tôt pour dire si le « kill switch » bloquerait définitivement les attaques du ransomware Wanna Decryptor. Il n’exclut pas en effet qu’il existe déjà d'autres versions basées sur la même souche du ransomware où le problème du « kill switch » a été résolu ou qu’elles ciblent un autre domaine Web. « Malheureusement, les ordinateurs déjà infectés par Wanna Decryptor resteront infectés », a-t-il aussi déclaré.

L'attaque de vendredi s'est d'abord propagée grâce à une vaste campagne de phishing par courrier électronique. « Certains des courriels contenaient un faux message d'une banque concernant un virement d'argent », ont expliqué les experts de Cisco Talos. « Les victimes ayant ouvert la pièce jointe ont été infectées par le ransomware, ce qui lui a permis de prendre le contrôle de l'ordinateur », ont encore déclaré les chercheurs en sécurité. En tant que tel, Wanna Decryptor n'est pas différent des autres souches de ransomware. Une fois qu'il a infecté le PC, il chiffre tous les fichiers présents sur la machine et demande à la victime de payer une rançon si elle veut récupérer ses données. Mais, contrairement à d'autres ransomware, Wanna Decryptor a été conçu pour se propager rapidement. Pour cela, il intègre un outil de piratage rendu public le mois dernier, et provenant peut-être de la NSA. Baptisé EternalBlue, cet outil facilite le piratage d'anciennes machines Windows qui ne sont plus à jour. Dès que Wanna Decryptor a infecté la première machine, il essaye de se propager à d'autres machines sur le même réseau local. Ensuite, il scanne l’Internet à la recherche d’autres machines vulnérables. « C’est un effet boule de neige », a déclaré Jérôme Segura. « D’abord, quelques machines sont infectées, ensuite le malware essaye d’en infecter d’autres ».

Selon l’entreprise de sécurité Avast, plus de 75 000 attaques ont eu lieu dans 99 pays. La Russie, l'Ukraine et Taiwan sont les pays les plus touchés, et le système de santé publique du Royaume-Uni, le National Health Service (NHS), est l'une des institutions les plus touchées par le ransomware. Wanna Decryptor ou WannaCry est capable de travailler dans de nombreuses langues, dont l'anglais, le chinois et l'espagnol. Les auteurs ont rédigé des demandes de rançon dans toutes ces langues. Le chercheur de Malwarebytes, Jérôme Segura, conseille aux victimes de ne pas payer la rançon pour ne pas encourager les pirates informatiques. Il leur recommande d’attendre encore quelques jours, le temps que les chercheurs en sécurité analysent le codage du ransomware et trouvent éventuellement des solutions - gratuites - pour désinfecter les machines. Vendredi, Microsoft a déclaré que les utilisateurs qui ont installé son logiciel antivirus gratuit ou les derniers correctifs sont protégés contre le ransomware.