WannaCry est toujours en activité sur les machines infectées

Publié le

Rappelez-vous : en 2017, le ransomware WannaCry infectait un nombre conséquent d’ordinateurs dans le monde entier et créait une panique sans précédent. Le logiciel avait ciblé de nombreux pays dont l’Inde, la Russie ou encore les États-Unis ainsi que de grandes entreprises comme Renault ou Vodafone. Le ransomware utilisait une faille présente sur les anciennes versions de Windows, faille qui avait été corrigée quelques semaines plus tôt. Problème : tout le monde n’avait pas installé le correctif diffusé par Windows Update. 18 mois plus tard, qu’en est-il de WannaCry ?

WannaCry est en standby

C’est le chercheur en sécurité Marcus Hutchins de chez Kryptos Logic qui a mené l’enquête lors de la première vague d’attaque. Il a détecté que le ransomware se connectait à intervalle régulier à un nom de domaine qui, s’il était actif, empêchait le rançongiciel de s’activer. La solution était donc simple : le chercheur a ainsi acheté le nom de domaine en question pour qu’il reste activé en permanence pour ainsi éviter la propagation du malware. Le site web est en fait un « kill switch », c’est-à-dire une sorte d’interrupteur qui permet de stopper la diffusion si besoin tant qu’il est en ligne.

WannaCry

Comme le chercheur est aussi le propriétaire du nom de domaine, il a pu suivre les chiffres sur le nombre de connexions entrantes. Jamie Hankins, responsable de la sécurité chez Kryptos Logic, a expliqué que le nom de domaine reçoit plus de 17 millions de connexions en une semaine provenant de 630 000 adresses IP de 194 pays différents, soit autant de victimes potentielles où le ransomware est endormi. Toutefois, celui-ci se connecte régulièrement pour vérifier l’état du site web.

Tant que le site web est accessible, WannaCry est donc stoppé mais il suffirait d’une grosse panne internet pour que le ransomware ne puisse plus accéder au nom de domaine, et qu’il s’active donc de lui-même. C’est pourquoi Kryptos Logic propose aux entreprises, principales victimes, d’utiliser le service TellTale qui permet de surveiller la liste des adresses IP infectées.

Dans tous les cas, le ransomware WannaCry est toujours endormi dans la nature et pourrait bien refaire parler de lui dans un avenir plus ou moins proche.

Source

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet