Et si WannaCry était juste un accident ?

WannaCry

Vous n’avez pas pu manquer la brutale expansion de WannaCry. Le monde commence seulement à se remettre de l’attaque numérique mondiale de ce ransomware, qui vise à crypter les données personnelles de chaque ordinateur touché (plus de 200 000 PC depuis le 12 mai, dont beaucoup d’entreprises) et à les restituer moyennant paiement.  Maintenant passé le traumatisme, tout le monde s’interroge sur son origine.

Il est aujourd’hui admis que WannaCry est l’œuvre de la Corée du Nord. La Cellule 180, unité d’élite rattachée aux services de renseignements de Pyongyang, a rapidement été soupçonnée. Aujourd’hui, les soupçons mènent plutôt à Lazarus, un groupe de hackers nord-coréens dont les motivations sont plus floues.

En effet, les sociétés Kaspersky Lab et Symantec, toutes deux spécialisées dans la sécurité informatique, ont rapidement établi un lien entre l’infrastructure du ransomware et les méthodes du groupe de pirates Lazarus. Pourtant, contrairement à certaines rumeurs, l’attaque n’aurait probablement aucun lien avec le gouvernement de Pyongyang. Symantec explique :

« En dépit des liens avec Lazarus, les attaques WannaCry ne portent pas la signature d’une campagne gouvernementale, mais sont plus typiques d’une campagne cybercriminelle. »

Pour cause, alors que les attaques gouvernementales ont principalement pour but de subtiliser des données afin de les exploiter, les attaques criminelles ne visent que le profit. D’où l’intérêt d’un ransomware visant à extorquer 300 dollars de rançon pour chaque proie, ou d’attaquer une banque du Bangladesh pour 81 millions de dollars comme l’a précédemment fait Lazarus. De plus, WannaCry n’a pas hésité à déferler sur la Chine, qui demeure l’un des seuls alliés de la Corée du Nord.

Si la piste d’une attaque gouvernementale semble donc s’écarter, certains spécialistes vont même plus loin. Selon The Grugq, WannaCry n’est non seulement pas liée au gouvernement nord-coréen, mais ne serait même pas terminé. Plusieurs indices abondent en ce sens :

  • La faible somme demandée par le logiciel, 300 dollars, tend plutôt à penser que les pirates prévoyaient d’infecter quelques centaines d’ordinateurs sur une durée de plusieurs semaines,
  • La clé de chiffrement envoyée manuellement, plutôt que par un envoi automatisé. Une démarche absurde pour des centaines de milliers d’ordinateurs infectés, mais plus pertinente pour un nombre plus restreint,
  • La performance limitée de WannaCry, qui ne fonctionne que sur Windows 7 et 2008 R2,
  • Le kill switch qui a stoppé la propagation du ransomware, déclénché par accident par un jeune chercheur en informatique.

Tous ces indices laissent à penser que la diffusion de WannaCry n’était pas censée avoir lieu aussi tôt, et à aussi grande échelle.  Il est cependant peu probable que Lazarus en reste là. Selon The Grugq, le groupe de pirates devrait en profiter pour améliorer son malware, augmenter le prix de la rançon et lancer la deuxième vague de WannaCry. La vraie, cette fois.

Tags :Sources :Journal du Geek
Dernières Questions sur UberGizmo Help

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité