Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Propagation mondiale du rançongiciel WCRY : des nouvelles du front

15 mai 2017 - 11:15,
Tribune - Charles Blanc-Rolin
                                                   

malwaretech_wcry_map

Il aura été difficile de ne pas avoir entendu parler ces deux derniers jours de cette propagation mondiale du rançongiciel WanaCrypt0r qui a paralysé de nombreuses entreprises, ministères, opérateurs téléphoniques, le constructeur Renault ou encore 45 hôpitaux publics britanniques. (voir : Rançongiciel : propagation massive et mondiale : l’ANSSI sonne l’alerte !)

Des dégâts considérables constatés ! Et le nombre de victimes cliquant sur la pièce jointe malveillante envoyé dans un message de phishing (l’hypothèse d’une propagation par mail s’est confirmée) continu d’augmenter. On a passé la barre des 230 000 victimes à l’heure où j’écris ces lignes. Vous pouvez visionner l’évolution en direct sur le Tracker mis en place par Malwaretech

Il s’est passé beaucoup de choses en à peine quelques heures ! Côté Français, comme je vous l’avais indiqué, l’ANSSI a donné l’alerte très rapidement dans la soirée de vendredi. Pour le secteur de la santé, le Ministère a émis une alerte auprès des ARS dans la foulée, également retransmise à la chaine d’alerte SSI (des RSSI d’établissements principalement) mise en place par notre FSSI, Monsieur Philippe LOUDENOT. Des échanges entre RSSI de différents établissements (CHU, CH), des mises en œuvre de procédures d’urgences dans plusieurs établissements (alerte des directions, des utilisateurs, désactivation des webmails personnels, coupure Internet temporaires) pour éviter l’infection en attendant de « patcher ». Le fait d’avoir conscience que l’on est encore loin d’être au niveau en matière de SSI dans le secteur de la santé, nous aura peut-être permis de « sauver les meubles ».

Devant l’ampleur de cette propagation et ses conséquences désastreuses, Microsoft a, contre toute attente, publié en urgence des patchs de sécurité corrigeant la vulnérabilité MS17-10 exploitée par ce rançongiciel pour des systèmes d’exploitation qui ne sont plus maintenus, comme pour Windows XP et 2003 Server. Ces patchs sont téléchargeables ici : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Comme auront pu le voir ceux qui ont suivi le fil de discussion sur Forum SIH.

Pour les systèmes maintenus, c’est la mise à jour de sécurité de mars 2017 qui corrige cette vulnérabilité. Pour les administrateurs, c’est la KB4012212 pour les différentes versions Windows 7 et 2008 Server, la KB4012213 pour Windows 8.1, la KB4012214 pour les différentes versions de 2012 Server, les KB4012606, KB4013198 pour les premières versions de Windows 10 et la KB4013429 pour les dernières versions de Windows 10 et 2016 Server. 

Le « héros du jour » est un chercheur de la société Malwaretech qui explique dans un article comment il a réussi à stopper « temporairement » l’infection il y a quelques heures. Au fil de ses recherches dans le contenu du code du « dropper » [1], il s’est rendu compte que le développeur avait laissé une « porte de sortie ». En effet avant de télécharger la charge utile, un test de connexion vers un nom de domaine inexistant était effectué. En cas de non réponse le « dropper » se connectait donc au serveur lui permettant de télécharger la charge utile. Le chercheur a donc déclaré le nom de domaine iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com contenu dans le code et oh miracle !, la condition au premier test de connexion étant remplie, le « dropper » esquive le téléchargement de la charge utile et l’infection est donc évitée.

 sinkhole

C’est une excellente nouvelle pour cette campagne d’infection qui semble bien affaiblie, mais il ne faut pas non plus se voiler la face, une nouvelle version pourrait très vite faire son apparition et redevenir efficace en un clic de souris. Les victimes devront restaurer leurs données pour repartir et l’application des patchs de sécurité est inéluctable pour tout le monde.


[1] Injecteur en français, il s’agit du code contenu dans les pièces jointes permettant l’infection reçues par mails, et qui s’occupe par la suite de télécharger la charge utile réalisant l’opération de chiffrement des fichiers, les rendant ainsi inutilisables.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Les cyber-tuiles ont toutes été posées par cyber-temps sec

Les cyber-tuiles ont toutes été posées par cyber-temps sec

27 oct. 2025 - 22:19,

Tribune

-
Cédric Cartau

Chaque semaine, je me demande bien ce que je vais pouvoir raconter dans le billet de la semaine suivante… et il me suffit de jeter un œil sur l’actualité pour tomber sur des sujets en veux-tu en voilà qu’il est d’autant plus facile de relier à la cyber que les analogies sautent aux yeux comme une am...

Illustration Conformité au Programme CaRE D2

Conformité au Programme CaRE D2

27 oct. 2025 - 17:00,

Communiqué

- Gplexpert

Le Programme CaRE, lancé en 2023, constitue une initiative majeure du Ministère de la Santé pour renforcer la cybersécurité et la résilience des établissements de santé. Dans ce cadre, le Domaine 2 (D2), consacré à la continuité et à la reprise d’activité, impose aux établissements de santé de nouve...

Illustration Horizon Santé 360 : des promesses concrètes de l’innovation en santé

Horizon Santé 360 : des promesses concrètes de l’innovation en santé

27 oct. 2025 - 11:04,

Actualité

- Pauline Nicolas, DSIH

Après une matinée centrée sur la souveraineté et les perspectives stratégiques du groupe La Poste Santé & Autonomie et de ses expertises, l’après-midi d’Horizon Santé 360 a laissé place à la mise en pratique avec ateliers riches et inspirants où l’innovation a pu se déployer tout autant qu’être soum...

Illustration Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?

Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?

20 oct. 2025 - 14:04,

Communiqué

- Computer Engineering

Pas de panique ! Vous êtes encore nombreux à chercher des solutions dématérialisées pour répondre à l’évolution de la réglementation européenne concernant le suivi renforcé des Dispositifs Médicaux Implantables (DMI).

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.