ESET : WannaCry n’est pas le seul à utiliser l’exploit EternalBlue

Prochain article

Le même mécanisme que celui de WannaCryptor, à savoir EternalBlue, a été utilisé par d’autres pirates fin avril 2017. Alors que l’objectif de WannaCrypt est de chiffrer les fichiers pour obtenir une rançon, EternalBlue+CoinMiner.AFR / Adylkuzz installe sur les machines un logiciel de création de monnaie de type Bitcoin :  Monero cryptocurrency.

 

Cette campagne détectée comme Win32/CoinMiner.AFR et Win32/CoinMiner.AFU a commencé quelques jours après la mise en ligne des outils de la NSA. Dès le 25 avril 2017, ESET® détecte via son module réseau les prémices de la propagation, soit 3 jours avant la première tentative d’attaque utilisant Monero cryptocurrency.

 

Le pic est enregistré le 10 mai 2017, soit quelques heures avant l’épidémie mondiale de WannaCrypt. La détection d’Adylkuzz sur les radars ESET est passée de quelques centaines à des milliers par jour. 118 pays sont touchés, dont principalement la Russie, Taïwan et l’Ukraine.

Par ailleurs, le logiciel de création de cryptomonnaie utilise tellement de ressources système que certaines machines frappées ne répondent plus.

 

 

Il est intéressant de noter que les machines infectées par CoinMiner ont vu leur port 445 bloqué. En fermant la porte à de futures infections utilisant EternalBlue et donc le port 445, CoinMiner a pris de vitesse WannaCrypt et sans cette précaution, le nombre d’infections par WannaCrypt aurait pu être beaucoup plus important.

 

D’ailleurs, l’attaque WannaCrypt semble avoir inspiré d’autres cybercriminels. ESET constate une augmentation significative du nombre d’emails malveillants envoyés par les opérateurs Nemucod, en diffusant un autre ransomware : Filecoder.FV.

Ainsi, les imitateurs de WannaCrypt émergent de part et d’autre. Ils tentent une performance supérieure à celle de WannaCrypt en utilisant le même GUI (interface graphique). Étrangement, leur chiffrement est absent.

 

Pour éviter tout risque d’attaque, les chercheurs ESET font part de leurs recommandations :

- comme l’exploit EternalBlue utilise une vulnérabilité de Windows® corrigée par Microsoft®, vérifiez l’application de la mise à jour et du correctif sur votre OS

- protégez votre ordinateur avec une solution de sécurité fiable qui utilise plusieurs couches de sécurité

- réalisez des sauvegardes sur un disque dur externe ou sur un emplacement distant non connecté au réseau

- ne payez pas la rançon. Visiblement, aucun moyen ne permettrait aux pirates de faire correspondre le paiement de la victime à l’argent envoyé

 

Pour rappel, depuis vendredi 12 mai 2017, les machines de plus de 14 000 utilisateurs ont rapporté plus de 66 000 tentatives d’intrusion de la part de WannaCrypt. Ces attaques ciblent en priorité les ordinateurs russes avec plus de 30 000 attaques, suivi de l’Ukraine et de Taïwan.

CONTACT PRESSE

Lucie FONTAINE

Chargée des Relations Presse

Téléphone : 01 55 89 09 60

lucie.f@eset-nod32.fr

À PROPOS D'ESET

Fondée en 1992, la société ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public. Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine et classé 5e éditeur mondial dans le dernier rapport du Gartner Group. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. ESET Nod32, ESET Smart Security et ESET Cybersecurity pour Mac sont reconnus et appréciés par des millions d’utilisateurs dans le monde. ESET a déjà reçu plusieurs distinctions en Allemagne notamment. Fin 2015, ESET Endpoint Security a été choisi par les lecteurs de Vogel IT Media comme le meilleur antivirus sur le marché allemand. De nombreuses autres récompenses ont distingué les solutions ESET : ESET Mobile avec Stiftung Warentest en février 2016, Prix CRN…