Les détections de WannaCry se comptent toujours par millions : rien qu’en août 2019, 4,3 millions de tentatives d'infection ont été stoppées

Paris — 9月 18, 2019 —

Sophos (LSE: SOPH), leader mondial de la sécurité des réseaux et des systèmes endpoint, vient de publier WannaCry Aftershock, un article sur le malware WannaCry, devenu tristement célèbre suite à l'attaque mondiale qui a débuté le 12 Mai 2017. La recherche effectuée par les SophosLabs montre que la menace WannaCry demeure endémique, avec des millions de tentatives d'infection arrêtées tous les mois et que, même si le malware d'origine n'a pas été mis à jour, plusieurs milliers de variantes éphémères courent toujours.

La persistance de la menace WannaCry est en grande partie due à la capacité de ces nouvelles variantes à contourner le « kill switch ». Toutefois, lorsque les chercheurs de Sophos ont analysé et exécuté un certain nombre de ces variantes, ils ont constaté que leur capacité à chiffrer les données avait été neutralisée : la conséquence à priori d’une corruption de code.

En raison de la manière avec laquelle WannaCry infecte ses nouvelles victimes (à savoir vérifier si un ordinateur est déjà infecté et, le cas échéant, passer à une autre cible), l'infection par une version inerte de ce malware empêche efficacement le périphérique d'être infecté par la souche active. En bref, les nouvelles variantes du malware agissent comme un vaccin accidentel, offrant aux ordinateurs encore non corrigés et vulnérables une sorte d’immunité contre les attaques ultérieures du même malware.

Cependant, le simple fait que ces ordinateurs puissent être infectés en premier lieu suggère que le correctif contre l’exploit principal, utilisé dans les attaques WannaCry, n'a pas été installé : un correctif publié il y a plus de deux ans.

Le malware WannaCry d'origine n'a été détecté que 40 fois. Depuis, les chercheurs des SophosLabs ont identifié 12 480 variantes du code d'origine. Une inspection plus minutieuse de plus de 2 700 échantillons (soit 98% des détections) a révélé qu'ils avaient tous évolué pour contourner le « kill switch ». Il s’agit d’une URL spécifique qui, une fois le malware connecté, met automatiquement fin au processus d'infection. Il s’avère que tous avaient un composant ransomware corrompu et étaient incapable de chiffrer les données.

En août 2019, la télémétrie Sophos a détecté 4,3 millions d'instances WannaCry. Le nombre de variantes différentes observées était de 6 963. Parmi elles, 5 555, soit 80%, étaient des nouveaux fichiers.

Les chercheurs de Sophos ont également pu tracer la première apparition de la variante corrompue. Celle-ci, qui est la plus répandue aujourd’hui, est apparue deux jours seulement après l’attaque initiale : le 14 mai 2017, date à laquelle elle a été uploadée au niveau de VirusTotal. Elle n’a toutefois pas encore été observée sur le terrain.

« En 2017, l'épidémie WannaCry a changé le paysage des menaces pour toujours. Notre recherche met en évidence le nombre d’ordinateurs non corrigés sur le marché. Or, si vous n’avez pas installé les mises à jour publiées il y a plus de deux ans, à côté de combien d’autres correctifs êtes-vous passé ? Dans ce cas, certaines victimes ont eu de la chance car des variantes du malware les ont immunisées contre les nouvelles versions. Mais aucune entreprise ne devrait se contenter d’une telle stratégie. En effet, la pratique en matière de cybersécurité à adopter sans aucun doute consiste à installer des correctifs à chaque publication et à mettre en place une solution de sécurité robuste couvrant tous les systèmes endpoint, les réseaux et les systèmes », a déclaré Peter Mackenzie, spécialiste sécurité chez Sophos et auteur principal de la recherche.

Comment se protéger contre le malware WannaCry et les ransomwares en général

  • Vérifiez que vous avez un inventaire complet de tous les périphériques connectés à votre réseau et qu'ils sont tous à jour au niveau du logiciel de sécurité.
  • Installez toujours les derniers correctifs dès leur publication, et ce sur tous les périphériques de votre réseau.
  • Vérifiez si vos ordinateurs sont corrigés contre l'exploit EternalBlue utilisé dans WannaCry en suivant les instructions suivantes : How to Verify if a Machine is Vulnerable to EternalBlue - MS17-010.
  • Le meilleur moyen d’éviter d’avoir à payer une rançon si vous venez d’être pris pour cible par un ransomware est de conserver des sauvegardes régulières de vos données les plus importantes et les plus récentes sur un périphérique de stockage hors ligne.
  • En matière de cybersécurité, il n’existe pas de solution miracle, cependant, un modèle de cybersécurité multicouches s’avère être la meilleure pratique que toutes les entreprises devraient mettre en œuvre.
  • Par exemple, Sophos Intercept X utilise une approche complète de défense en profondeur au niveau de la protection des systèmes endpoint. Celle-ci combine ainsi plusieurs techniques de pointe de dernière génération pour la détection des malwares, la protection contre les exploits en intégrant une fonctionnalité EDR (Endpoint Detection and Response).

ソフォスについて

ソフォスは、サイバーセキュリティ業界のリーダー企業として、AI を駆使したプラットフォームや精鋭スタッフによるサービスを世界中の 600,000社以上のお客様にご利用いただいています。セキュリティの成熟度にかかわらず、あらゆるお客様のご要望にお応えし、サイバー攻撃を撃退すべくお客様とともに成長を続けています。機械学習や、自動化、リアルタイムの脅威インテリジェンスに、Sophos X-Ops の最前線スタッフから得た専門知識を組み合わせて、高度な脅威監視、検出、対応を 24時間 365日体制で行っています。
ソフォスは、業界最先端の MDR (managed detection and response) を提供しているのに加えて、エンドポイントをはじめ、ネットワーク、メール、クラウドセキュリティ、XDR (extended detection and response)、ITDR (identity threat detection and response)、次世代の SIEM まで、サイバーセキュリティテクノロジーのあらゆるラインナップを取り揃えています。さらに、専門家によるアドバイザリーサービスも提供しており、組織はこれらを組み合わせて利用することで、リスクをあらかじめ減らし、迅速な対応をとれるようになるだけでなく、進化し続ける脅威の一歩先をいくために必要な可視性および拡張性を確保することが可能となります。
ソフォスは、グローバルに広がるパートナーエコシステムを通じて市場展開しており、お客様は、MSP (Managed Service Provider)、MSSP (Managed Security Service Provider) や、リセラー、ディストリビューターのほか、マーケットプレイスにおける統合、ソフォスのサイバーリスクパートナーまで、信頼できる関係性を自由にお選びいただけます。  ソフォス本社は英国のオックスフォードにあります。詳細については www.sophos.com をご覧ください。