Il y a cinq ans aujourd’hui (12 mai), une attaque de ransomware imputée à un groupe de piratage nord-coréen a frappé des ordinateurs exécutant Microsoft Windows, cryptant des données et exigeant des paiements de rançon en bitcoins.

WannaCry, la plus grande attaque de ransomware de l’histoire, s’est propagée en quelques jours à plus de 250 000 systèmes dans 150 pays.

Mais un kill switch a été découvert par un chercheur britannique en sécurité Marcus Hutchinsqui a arrêté l’attaque par inadvertance en enregistrant un domaine Web trouvé dans le code du logiciel malveillant.

Une fois que le rançongiciel a vérifié l’URL et constaté qu’elle était active, il a été arrêté, ce qui a fait gagner un temps précieux et a donné aux organisations la possibilité de mettre à jour leurs systèmes.

« Cela ne semblait pas réel et la réalité ne s’est jamais vraiment installée. Encore aujourd’hui, j’ai l’impression que tout cela n’était qu’un rêve étrange », a déclaré Hutchins. La gorgée quotidienne.

« Il est rare que des exploits aussi sophistiqués tombent entre de mauvaises mains. Même à ce jour, rien de proche de la gravité de l’exploit utilisé par WannaCry n’a fait surface.

Menace permanente

Cinq ans plus tard, cependant, et les effets de WannaCry sont toujours apparents, avec d’autres attaquants encouragés à agir.

« Nous ne savions pas alors que ce n’était que le début d’une augmentation des attaques de ransomwares plus sophistiquées, généralisées et préjudiciables », déclare Joseph Carson, scientifique en chef de la sécurité et CISO consultatif chez Delinea.

EN RELATION La montée subite de ransomware incite le NCSC et l’avertissement conjoint de la CISA à protéger les systèmes

« Depuis lors, nous avons vu un flux constant de victimes de ransomwares de haut niveau, ainsi qu’une augmentation du nombre de groupes de ransomwares proposant des ransomwares en tant que service. »

En effet, selon un récent rapport de Sophos, les deux tiers des organisations interrogées ont été touchées par des ransomwares en 2021, contre 37 % en 2020, près de la moitié de celles dont les données étaient chiffrées payant une rançon.

Même WannaCry lui-même est toujours en liberté et cause des dommages importants, avec Trend Micro signalant que plus de 5 500 cas ont été détectés au cours de chacun des trois derniers mois de l’année dernière. De toute évidence, les organisations n’agissent toujours pas.

« Compte tenu de la couverture importante, à la fois technique et de haut niveau, une grande partie de l’industrie s’attendait à ce que cela incite les organisations à prendre de véritables mesures défensives », déclare James Tamblin, président de BlueVoyant UK.

« Pourtant, au cours des cinq dernières années, nous avons vu des acteurs de ransomware utiliser des méthodologies presque identiques – et dans de nombreux cas, des outils identiques – pour atteindre leurs objectifs. »

Étapes de base

Il y a un large accord de l’industrie sur le fait qu’il faut faire plus pour se défendre contre les ransomwares, Carson exhortant les organisations à prendre des mesures de base pour se protéger.

« L’une est la segmentation, consistant essentiellement à mettre en place des garde-fous techniques qui séparent une fonction commerciale d’une autre. Cela minimise la propagation incontrôlée d’acteurs malveillants et de logiciels malveillants », a-t-il déclaré.

« Une autre bonne pratique consiste à identifier tous les actifs critiques qui sont le plus souvent la cible d’attaques et à effectuer des sauvegardes incrémentielles fréquentes au cas où une restauration du système serait nécessaire. Une authentification multifactorielle forte et des contrôles d’accès privilégiés sont également des composants évidents.

En attendant, dit-il, les organisations devraient envisager une approche d’accès au moindre privilège, limitée à ce qui est requis pour la fonction ou la tâche.

Mais la culture générale au sein de l’infosec est également un facteur dans la prolifération continue des ransomwares, selon Ian Farquhar, Field CTO chez Gigamon.

« Au lieu de favoriser la collaboration à l’échelle de l’industrie et de permettre la transparence nécessaire pour faire face à la complexité des attaques de ransomwares, la culture du blâme, avec des pointages constants du doigt et des critiques depuis les lignes de touche, est répandue et en augmentation », a-t-il déclaré. La gorgée quotidienne.

« Les professionnels de l’infosec sont au point de rupture, avec 41 % des responsables de la sécurité informatique au Royaume-Uni qui envisagent de démissionner. Et avec des groupes de rançongiciels comme Lapsus$ qui s’attaquent généralement à des employés mécontents et stressés et offrent des incitations financières pour permettre l’intrusion, l’industrie doit changer rapidement.

Si vous ne l’avez pas encore vu, consultez WannaCry: L’histoire de Marcus Hutchins documentaire sur YouTube :

Cette mini-série en trois parties a fait partie de notre liste des 10 meilleurs documentaires sur le piratage de tous les temps.