Haluta itkeä

Haluta itkeä

Arvioitu tartunnan saaneiden maiden kartta. Tiedot
Ensimmäinen versio 12. toukokuuta 2017
Tyyppi Tietokonehyökkäys

WannaCry , joka tunnetaan myös nimellä WannaCrypt , WanaCrypt0r 2,0 tai vastaavia, on itsestään replikoituva kiristysohjelmat - tyyppi haittaohjelmia .

Sisään Toukokuu 2017Sitä käytetään tietoverkkojen maailmassa massa, joka vaikuttaa yli 300000 tietokoneita yli 150 maassa, lähinnä Intiassa , The USA ja Venäjä , ja käyttäen järjestelmää vanhentuneita Windows XP ja yleisemmin kaikki aiemmat versiot Windows 10 , ettei se ole suorittanut tietoturvapäivitykset , erityisesti14. maaliskuuta 2017 (tietoturvatiedote MS17-010).

Tämä tietoverkkohyökkäys pidetään suurin hakkerointi lunnaita ja Internet-historia , Euroopan toimiston fonttien Europolin kutsuen sitä "ennennäkemätön taso" ja lisäsi, että "se on joka tapauksessa lunnaita".

Tärkeimmistä organisaatioista, joihin tämä hyökkäys vaikuttaa, löydämme erityisesti Vodafone , FedEx , Renault , Telefónica , kansallisen terveyspalvelun , Liègen yliopistollisen sairaalan , Venäjän sisäasiainministeriön ja Deutsche Bahnin .

Tämä haittaohjelma käyttää NSA: n hyödyntämää ja hakkereiden Shadow Brokersin varastamia EternalBlue- tietoturva- aukkoja . Tämä virhe on korjattumaaliskuu 2017by Microsoftin kautta tiedotteen MS17-010 osana Patch tiistai .

Tästä viruksesta on puhuttu jälleen hyökkäämällä 23. kesäkuuta 2017yhdessä Honda- autoryhmän tehtaista , joka sijaitsee Sayamassa, Japanissa , ja tämä tapahtuu viisi päivää ennen toisen suuren globaalin kyberhyökkäyksen , NotPetyan , alkua .

Hyökkäys

Asiayhteys

Ensimmäiset infektiot olivat Espanjassa tai Yhdistyneessä kuningaskunnassa, ennen kuin ne levisivät muutamaan maailmaan muutamassa tunnissa. Ensimmäisenä iltana oletettu saastumisten määrä oli 100 000 Windows- järjestelmää . Vaikuttaa siltä, ​​että ensimmäiset viruksen jäljet ​​ovat peräisin edellisestä helmikuusta. Jotkut yritykset ovat päättäneet lopettaa saastuneet tuotantolinjat yrittäen pysäyttää leviämisen.

Kuningaskunnan National Health System (NHS) on yksi tärkeimmistä uhrien ransomware. Viisikymmentä NHS-sairaalaa, toisin sanoen 20% niistä, on huolestunut. Heillä on tosiaankin kymmeniä tuhansia tietokoneita, jotka käyttävät edelleen Windows XP: tä .

Oli mahdollista viivästyttää viruksen leviämistä rekisteröimällä tietty verkkotunnus killswitch , jonka brittiläinen tutkija teki . Tämä olisi ohjelmiston kehittäjien itsensä suunnittelemaa turvallisuutta. Virus leviää niin kauan kuin yllä määriteltyä verkkotunnusta ei ole rekisteröity, mutta etenemisvaihe on estetty, jos näin on. Se oli noin iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Tämä hengähdystauo oli lyhytikäinen, koska virus on sopeutunut siitä lähtien. Ainakin kaksi muuta muunnelmaa levisi pian sen jälkeen, joista yksi ei sisältänyt verkkotunnusten suojausta. Toisesta näistä muunnelmista johtuva verkkotunnus on ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.commolemmilla sama pääte. Useat muut "katkaisijat" on vähitellen tunnistettu. Se sisältää myös automaattisen uudelleenkäynnistyksen, jos toteutus keskeytyy. Samoin käyttäjän työtiedostojen salauksen lisäksi ohjelmisto muuttaa järjestelmän volyymeja häiritsemään viruksia, jotka eivät aktivoidu ajoissa.

BBC väittää virus ilmaisee tyytymättömyytensä Donald Trump politiikka . Jotkut toimittajat ovat yhteydessä siihen, että Apple kieltäytyi jakamasta arkaluonteisia tekniikoita NSA: n kanssa yhdessä viimeksi mainitun vuonna 2015 tekemistä terrorismin vastaisista tutkimuksista.

Ominaisuudet

Kuten useimmat tietokonevirukset , tämä virus välittyy lähiverkon ja Internetin kautta saastuneiden liitteiden kautta, joita botnet- verkon kautta lähettää suuri määrä sähköposteja . Tämä opinnäytetyö on kiistanalainen, koska näistä sähköpostiviesteistä ei ole löydetty jälkiä: ”Kaikki etsivät sitä kuuluisaa alkuperäistä sähköpostia ja neljän päivän aikana yksikään tiimi ei ole onnistunut saamaan sitä käsiinsä. » CERT-Wavestonesta vastaava Wavestonen johtaja Vincent Nguyen sanoo .

Tutkijat esittävät toisen tutkielman väittäen, että heidän yksinkertaisesti Internetiin kytketyt hunajapotit olivat saastuneet nopeasti. Siksi se replikoituu itsestään.

Yhteinen kaikille lunnasohjelmille , kun saastuminen tapahtuu, virus salaa kaikki tiedostot kyseisellä tietokoneella ja näyttää käyttäjälle lunnaat.

Sitten se leviää muodostamalla yhteyden muihin haavoittuviin tietokoneisiin täysin itsenäisesti. Linux-käyttöjärjestelmä, joka sisältää osittain Samba- protokollan , ei näytä kohdistuvan.

Tälle lunnasohjelmalle on ominaista hyökkäyksen nopeus, joka vaikuttaa satoihin tuhansiin koneisiin ympäri maailmaa viikonloppuna. Hyökkäystaajuus oli vähintään yksi yritys sekunnissa ja sen vahvuudelle osoitettiin 226800  IP-osoitetta . Samoin ei vaikuta siltä, ​​että siitä olisi tehty testausvaiheita, vaan pikemminkin alustavan tutkimuksen kausi. Siksi ei ole suljettu pois rikollisjärjestön tai valtion (tai valtion tukeman) hyökkäyksen jälkiä . Europolin mukaan yksikään maa ei ole erityisen kohdennettu.

Vaadittu lunnaat ovat tässäkin summa bitcoineina , joiden arvo on suhteellisen pieni, 300-600  dollaria . Aluksi se on 300 ja nousee sitten 600 päivään kolmen päivän kuluttua, jos käyttäjä ei ole vielä maksanut, tiedot poistetaan sitten seitsemän päivän kuluttua. Tekijät luottavat infektioiden suureen määrään. Normaalisti kun lunnaat on maksettu, An salausavain hallussa hakkerit avata tietokone, mutta ei ole mitään takeita. Analysoitu koodi osoittaa, että tiedostojen salauksen purkaminen vaatii rikollisten manuaalista puuttumista.

Asiantuntijat väittävät siis, että vaikka lunnaat maksettaisiin, käyttäjillä ei ole juurikaan mahdollisuuksia saada tiedostot salauksen purettua ja pystymään palauttamaan ne. Vastaavasti tiedostojen palautusta ei ole toistaiseksi havaittu. Bitcoin- kaupat ovat julkisia, ja rikolliset olisivat saaneet 51,92 bitcoinia eli yli 95 000  dollaria hyökkäyksen aikaan. Twitter- robotti luotiin tämän summan kasvun osoittamiseksi.

Reaktiot ja seuraukset

Ottaen huomioon potentiaalisen vaikutuksen asiakkaisiin ja heidän liiketoimintaansa Microsoft on poikkeuksellisesti asettanut tietoturvapäivitykset saataville alustoille, joita se ei enää ylläpitää, eli Windows XP , Windows 8 ja Windows Server 2003 . Yritys väittää, että se ei vaikuta Windows 10: een . Yrityksen johtaja Brad Smith  (en) osoittaa sormella tiedustelupalvelujen vastuuta tällaisissa tapauksissa ja toivoo, että se saa heidät tietoiseksi vastuustaan: "Tämä hyökkäys on uusi esimerkki ongelman havainnollistamiseksi. - valtion porsaanreikien varastointi " .

Ranskassa Pariisin syyttäjänvirasto on antanut räikeän tutkimuksen tieto- ja viestintätekniikoihin liittyvän rikollisuuden torjuntaa käsittelevälle keskusvirastolle "vilpillisestä pääsystä ja huollosta automaattisissa tietojenkäsittelyjärjestelmissä", "näiden järjestelmien toiminnan estämisestä" ja ”Kiristys ja kiristysyritys. Myös Euroopan poliisitoimisto Europol työskentelee tapauksen parissa. Tämän hyökkäyksen sanotaan aiheuttaneen kymmeniä miljoonia dollareita vahinkoa.

Internet-käyttäjiä, jotka ovat kokeneet tietokoneensa tartunnan saaneita, kehotetaan pitämään kopio salatuista tiedostoista. Itse asiassa on mahdollista, että tutkija löytää myöhemmin keinon niiden tulkitsemiseksi.

Sveitsissä tietoturvan keskusrekisteri- ja analyysikeskus ilmoitti, että kyberhyökkäys tartunnan lähes 200 koneella eri puolilla maata.

Muutama päivä myöhemmin toinen laajamittainen kyberhyökkäys , Adylkuzz , iski satoja tuhansia tietokoneita; se hyödyntää samoja turvallisuusreikiä kuin WannaCry. Sitten27. kesäkuuta 2017, toinen laajamittainen kyberhyökkäys , NotPetya , on vaikuttanut satoihin tuhansiin tietokoneisiin hyödyntäen myös näitä haavoittuvuuksia.

Tutkinta ja epäily

Tutkimuksessa tarkastellaan "  potilaan nollaa  ", joka on ensimmäinen tartunnan saanut tietokone.

Vaikka hyökkäyksen alkuperää on melko vaikea määritellä, tietoturvatutkijat ovat ilmoittaneet todennäköisestä yhteydestä Pohjois-Koreaan . Insinööri Neel Nehta, tietojenkäsittelytieteen tutkija, Google- yrityksen työntekijä , latasi lähdekoodin osia, jotka osoittavat tiettyjä yhtäläisyyksiä uuden viruksen ja toisen Aasian maalle liittyvän hakkerointisarjan välillä. Hakkerit pohjoiskorealaiset epäillään kuuluvan kollektiivisen Lazarus Group  (in) , joka on kiinnittänyt huomiota vuonna 2007, kuten Kaspersky.

Muut tutkijat ovat myös muodostaneet yhteyden kiinalaisiin hakkereihin. Flashpoint-asiantuntijat analysoivat WannaCry-lunastusviestit 28 eri kielellä. Heidän tulokset osoittavat, että hakkerit puhuvat sujuvasti kiinaa, jonka viesti on kieliopillisesti paremmin rakennettu ja sisältää enemmän tietoa. Muut käännökset saatiin englanninkielisestä viestistä (joka sisältää vakavan kielioppivirheen) ja Google Kääntäjältä . Lazarus-ryhmää  (en) osoittavat ohjelmakappaleet olisi voitu istuttaa haittaohjelmiin vain hakkereiden jälkien peittämiseksi.

Elokuussa 2017 brittiläinen tutkija Malwaretech, joka oli auttanut pysäyttämään viruksen, pidätettiin Las Vegasissa, missä hän oli Def Conissa. Pidätys ei kuitenkaan liity WannaCryyn, vaan koskee muita pankkitapahtumatietovarkauksia. Tämä pidätys on kiistanalainen Internetin oikeuksien puolustajien yhteisössä: Electronic Frontier -säätiö on mobilisoinut lakimiehiä puolustamaan hakkereiden oikeuksia ja selvittämään pidätyksensä todellisen syyn.

Viruksen hallinta ohjelmistolla

Kolmen ranskalaisen, tietoturva- asiantuntijan ryhmä on kehittänyt Wanakiwi-nimisen ohjelmiston , työkalun lukittujen tietojen saannin palauttamiseksi. Tämä ohjelmisto toimii Windows XP: ssä , Windows Vistassa ja Windows 7: ssä, ja sen on hyväksynyt Euroopan poliisivirasto Europol .

Kuten monet lunnasohjelmat, WannaCry luo kaksi avainta tietojen salaamiseen. Yksi on julkinen ja toinen yksityinen . Kun haittaohjelma on asennettu, yksityinen avain itse salataan. Virus käyttää Windowsin salaustoimintoja näiden avainten luomiseen, mutta nämä toiminnot kirjoittavat yksityisen avaimen lyhyesti salaamattomana tietokoneen RAM-muistiin . Näin he onnistuivat luomaan tämän ohjelmiston, joka pystyy hakemaan tämän yksityisen avaimen jäljet ​​tiedostojen pääsyn vapauttamiseksi.

Ryhmä vaatii reaktiivisuutta, koska "tämä muisti tyhjennetään automaattisesti seitsemän päivän kuluttua". Lisäksi, jotta tämä ratkaisu toimisi, kyseisiä tietokoneita ei ole pitänyt käynnistää uudelleen tartunnan jälkeen, koska RAM on epävakaa. Wanakiwi toimii 60 prosentissa tapauksista koneissa, joissa on Windows XP. Windows 7: ssä onnistumisaste on tällä hetkellä pysähtynyt 10 prosenttiin.

On rakennettu useita apuohjelmia, jotka mahdollistavat suojauksen tietoturvaloukkauksia vastaan, muun muassa WannaSmile, joka poistaa tietyt rikkomuksen käyttämien Windows-järjestelmien toiminnot ja WannaPatch, ranskalaisesta SysStreamingistä, joka tunnistaa järjestelmän haavoittuvuuden ja jos on. tapaus, joka mahdollistaa asianomaisen korjaustiedoston välittömän lataamisen.

Huomautuksia ja viitteitä

  1. (fi-USA) “  Asiakkaan opas WannaCrypt-hyökkäyksille  ” , MSRC ,12. toukokuuta 2017( lue verkossa , kuultu 13. toukokuuta 2017 )
  2. "  Mitä tiedämme tästä valtavasta maailmanlaajuisesta kyberhyökkäyksestä  ", La Tribune ,2017( luettu verkossa , käytetty 14. toukokuuta 2017 )
  3. "  Juniper: Technical details on WannaCry  ", InformatiqueNews.fr ,14. toukokuuta 2017( luettu verkossa , käytetty 14. toukokuuta 2017 )
  4. "  Ransomware: Siivous jatkuu WannaCry Chaosin jälkeen  ", ZDNet France ,2017( luettu verkossa , käytetty 18. toukokuuta 2017 )
  5. "  WannaCry: Tällä ransomware valmis osuma planeetta  " Computer World ,2017( lue verkossa , tutustunut 15. toukokuuta 2017 ).
  6. "  verkkohyökkäyksen WannaCry: mitä tietää ransomware että ravisteli maailmaa  ", Futura ,2017( lue verkossa , tutustunut 15. toukokuuta 2017 ).
  7. "  WannaCry, The ransomware että cripples internetin  " kello clubic.com (näytetty 15 toukokuu 2017 ) .
  8. "  Wannacry: Päivitys 4. päivänä  ", InformatiqueNews.fr ,15. toukokuuta 2017( lue verkossa , tutustunut 15. toukokuuta 2017 ).
  9. Arnaud , "  WannaCry: Microsoft syyttää hallituksia massiivisen viikonloppuhyökkäyksen jälkeen Viipale42  ”, Viipale42 ,15. toukokuuta 2017( lue verkossa , tutustunut 15. toukokuuta 2017 ).
  10. "  Check Point Shows Global Map of WannaCry Ransomware Infection  " , Global Security Mag Onlinessa (käytetty 18. toukokuuta 2017 )
  11. "  WannaCry: infektion hidastumisesta huolimatta kyberhyökkäys on edelleen huolestuttava  ", La Tribune ,2017( luettu verkossa , käytetty 18. toukokuuta 2017 )
  12. “  WannaCry: Ennennäkemätön Ransomware Attack  ” , ohjelmassa! (käytetty 14. toukokuuta 2017 )
  13. (fi-FI) Chris Graham, "  NHS-verkkohyökkäys: kaikki mitä sinun tarvitsee tietää historian suurimmasta ransomware-hyökkäyksestä  " , The Telegraph ,13. toukokuuta 2017( lue verkossa , kuultu 13. toukokuuta 2017 ).
  14. "  Verkkohyökkäys: Europol sodan pohjalla - Amerikka - RFI  " , Rfi.fr,29. maaliskuuta 2017(käytetty 15. toukokuuta 2017 )
  15. "  Wannacry Ransomware  " , osoitteessa europol.europa.eu (käytetty 19. toukokuuta 2017 )
  16. Nathalie Guibert, Damien Leloup ja Philippe Bernard (Lontoon kirjeenvaihtaja) , "  Massiivinen kyberhyökkäys estää tietokoneita kymmenissä maissa  ", Le Monde.fr ,13. toukokuuta 2017( ISSN  1950-6244 , luettu verkossa , käytetty 13. toukokuuta 2017 )
  17. "  WannaCry: ruumiinavaus kiristysohjelmat 2,0 , kasvatti hyödyntää NSA  " Silicon ,13. toukokuuta 2017( luettu verkossa , käytetty 14. toukokuuta 2017 ).
  18. "  Tietoverkkohyökkäys: tiedä kaikki WannaCrystä, joka tuhosi tuhansia tietokoneita  ", PhonAndroid ,15. toukokuuta 2017( lue verkossa , tutustunut 15. toukokuuta 2017 )
  19. "  Miksi WannaCry-lunnasohjelma tekee niin paljon vahinkoa?"  ", Factory-digitale.fr ,2017( lue verkossa , tutustunut 15. toukokuuta 2017 ).
  20. "  Globaali kyberhyökkäys: kuinka tämä 22-vuotias britti onnistui rajoittamaan vahingon laajuutta  ", LCI ,2017( luettu verkossa , käytetty 14. toukokuuta 2017 ).
  21. (sisään) "  WannaCry - Uusia vaihtoehtoja havaittu! - Comae Technologies  ” , Comae Technologies ,14. toukokuuta 2017( luettu verkossa , käytetty 14. toukokuuta 2017 )
  22. WannaCry-lunnasohjelma  : sairaalat ja operaattorit olivat panttivankeja, yli 100 maata kärsii  ", Tom's Hardware ,13. toukokuuta 2017( luettu verkossa , käytetty 14. toukokuuta 2017 ).
  23. "  WannaCry: Miksi Applella on oikeus kieltäytyä yhteistyöstä FBI: n kanssa  ", PaperGeek ,15. toukokuuta 2017( lue verkossa , tutustunut 15. toukokuuta 2017 )
  24. “  Verkkohyökkäys: ovatko ranskalaiset sairaalat hyvin suojattuja?  », Franceinfo ,15. toukokuuta 2017( lue verkossa , tutustunut 15. toukokuuta 2017 )
  25. RTL Newmedia , "  Massiivinen tietokonehyökkäys osuu maailmaan: mitä tätä hakkerointia kutsutaan WannaCryksi ja mitä Microsoft tekee vastustaakseen sitä?"  ", RTL-tiedot ,2017( luettu verkossa , käytetty 14. toukokuuta 2017 )
  26. "  WannaCry: Tällä ransomware joka ei enää tarvitse phishing  ", Silicon ,15. toukokuuta 2017( lue verkossa , tutustunut 15. toukokuuta 2017 ).
  27. (in) "  WannaCry Outbreak Data (12 päivänä toukokuuta 2017-19 toukokuu 2017)  " on GitHub ,26. elokuuta 2016(käytetty 27. helmikuuta 2018 )
  28. "  Bitcoin osoite 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94  " puolesta blockchain.info (näytetty 19 toukokuu 2017 )
  29. "  Bitcoin osoite 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw  " puolesta blockchain.info (näytetty 19 toukokuu 2017 )
  30. "  Bitcoin osoite 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn  " puolesta blockchain.info (näytetty 19 toukokuu 2017 )
  31. "  morb (@ m0rb) | Twitter  ” on twitter.com (näytetty 15 toukokuu 2017 ) .
  32. “  Verkkohyökkäys: Microsoftin reaktio WannaCry | IT-osasto - Uutiset  ” , osoitteessa www.directioninformatique.com (neuvottu 15. toukokuuta 2017 ) .
  33. "  WannaCry: tiedustelupalvelut kuumalla paikalla  ", lesechos.fr ,15. toukokuuta 2017( lue verkossa , tutustunut 15. toukokuuta 2017 )
  34. “  https://lanouvelletribune.info/2017/05/wannacry-lappel-de-microsoft-agences-de-rseignement/  ” ( ArkistoWikiwixArchive.isGoogle • Que faire? ) (Pääsy 8. heinäkuuta 2017 ) .
  35. "  Verkkohyökkäys - Wannacry: Microsoftin vetoomus tiedustelupalveluihin  ", La Nouvelle Tribune ,15. toukokuuta 2017( lue verkossa , tutustunut 15. toukokuuta 2017 )
  36. "  "  rançongiciel  "Wannacry juuri vaikuta Sveitsi  ," Aika ,15. toukokuuta 2017( luettu verkossa , kuultu 16. toukokuuta 2017 ).
  37. Uusi laajamittainen kyberhyökkäys on käynnissä .
  38. Figaron verkkosivusto, sivu kyberhyökkäyksessä .
  39. "  WannaCry: Hyökkäys Pohjois-Koreasta?"  » , Clubicissa ,16. toukokuuta 2017
  40. (in) "  Flashpoint asiantuntijat uskovat WannaCry kirjoittajat puhuvat Kiinan jälkeen kielellinen analyysi  " on turvallisuus asioiden ,26. toukokuuta 2017(käytetty 9. kesäkuuta 2017 )
  41. Alfred Ng , "  WannaCryn sankari, jota syytetään pankkiviruksen luomisesta  ", ZDNet France ,4. elokuuta 2017( luettu verkossa , kuultu 4. elokuuta 2017 )
  42. "  Yhdysvalloissa pidätetyn WannaCryn maailmanlaajuisen kyberhyökkäyksen" sankari  " , Le Figaro ,4. elokuuta 2017
  43. "  gentilkiwi / wanakiwi: Automatisoitu wanadecrypt avainten palautuksella, jos onnekas  " , GitHub (käytetty 20. toukokuuta 2017 )
  44. 01net , "  WannaCry: Ratkaisu löydetty ... kiitos Windows Gapin  ", 01net ,19. toukokuuta 2017( luettu verkossa , käytetty 19. toukokuuta 2017 )
  45. "  verkkohyökkäyksen: kolme ranskalaista ihmiset luotu anti WannaCry ohjelmistot  ", leparisien.fr ,19. toukokuuta 2017( luettu verkossa , käytetty 19. toukokuuta 2017 )
  46. indrajeetb , "  Yksinkertainen työkalu suojautua WannaCry Ransomware -ohjelmaa vastaan  " (käytetty 22. toukokuuta 2017 )
  47. SysStreaming , "  Erittäin yksinkertainen ja ilmainen työkalu WannaCry / WannaPatch-virheen havaitsemiseksi ja järjestelmien korjaamiseksi, jos virhe havaitaan  " ( ArkistoWikiwixArchive.isGoogle • Que faire? ) (Käytetty 22. toukokuuta 2017 )

Katso myös

Ulkoiset linkit

Aiheeseen liittyvät artikkelit