L’épidémie WannaCry a provoqué le chaos dans de nombreux endroits du monde avant de finalement être stoppée grâce à la découverte d’un kill switch (ou « interrupteur ») caché dans le code du ransomware. Mais cela ne veut pas dire que la partie soit terminée. Le Laboratoire F-Secure a détecté un nouveau trafic lié à WannaCry venant d’Asie, en particulier issu d’Indonésie et du Vietnam.
Le Laboratoire F-Secure a tout d’abord remarqué une augmentation des détections venant d’Asie le 17 mai aux alentours de 4 h du matin (UTC).
We're seeing a significant uptick in #WannaCry detections (on our back end telemetry) from Indonesia. Started 5 to 6 hours ago.
— F-Secure Labs (@FSLabs) May 17, 2017
Les détections venant d’Indonésie se sont poursuivies à un rythme croissant dans la matinée, avant de diminuer en début d’après-midi. Un nouveau pic a été détecté le 18 au matin, toujours en Indonésie. Il a été suivi quelques heures plus tard par un autre, affectant cette fois-ci le Vietnam.
Ces pics épidémiques en Indonésie et au Vietnam ont représenté 80% des détections totales dans le monde et ont constitué une part significative de l’activité de WannaCry ces dernières 48h.
Le total des détections des 17 et 18 mai représente le double de celles que nous avons constaté les 15 et 16, et s’avère même légèrement supérieur au nombre de détections réalisées durant l’épidémie de vendredi dernier.
Il semble que WannaCry n’ait pas dit son dernier mot.
Les produits F-Secure disposent de plusieurs moyens de détection permettant de bloquer WannaCry. Par ailleurs, sur cette variante du malware, la charge active est défectueuse : il ne lui est donc pas possible d’infliger le type de dommages constatés la semaine dernière. Il s’agit en fait d’une variante neutre de WannaCry, dont une autre version dévastatrice a sévi la semaine dernière (celle du « kill switch »).
Mais cette dernière version peut toutefois causer des problèmes de réseau aux organisations en monopolisant leur bande passante. Pour Sean Sullivan, Security Advisor chez F-Secure, ce type de nuisance suffit d’ores-et-déjà pour rester en alerte face à WannaCry.
« Les vers peuvent se montrer particulièrement persistant, jusqu’à ce que le réseau concerné ne renforce sa sécurité pour éviter qu’il ne s’étende », explique Sean Sullivan. « Conficker a sévi durant des années, et il est encore présent aujourd’hui. Cette variante de WannaCry n’est pas programmée pour exiger une rançon, mais une autre pourrait en être capable à nouveau. Il ne faut donc surtout pas ignorer les problèmes de sécurité dont ce ver tente de tirer avantage. »
Certaines organisations, en particulier les hôpitaux et autres services-clés, sont particulièrement vulnérables face à d’éventuelles infections, compte-tenu de la complexité de leur infrastructure et des caractéristiques de type ver propres à WannaCry. Ces nouveaux pics de détections viennent rappeler aux utilisateurs qu’il est nécessaire de sécuriser leurs appareils s’ils veulent éviter d’être infecté, et d’infecter d’autres utilisateurs à leur tour.
Pour plus d’informations :
Catégories