En continuant votre navigation sur ce site, vous acceptez l'utilisation et l'installation de cookies assurant le fonctionnement optimal de notre service. 

WannaCry : la Corée du Nord pourrait être derrière le redoutable ransomware

WannaCry, le redoutable ransomware qui a infecté plus de 300.000 machines dont des hôpitaux et Renault, pourrait être lié au groupe Lazarus, des hackers d’élite nord-coréens. Un chercheur de Google, Neel Mehta, a remarqué des ressemblances entre le code d’une version du ransomware et un extrait de code attribué au groupe Lazarus datant de février 2015. Ce groupe serait lié au piratage de Sony Pictures ou encore de la Bank du Bangladesh.

wannacry coree du nord

WannaCry… et si c’était la Corée du Nord ? L’attaque par ransomware tire partie d’une faille de sécurité zero-day qui aurait été utilisée par l’unité d’élite de hackers de la NSA, Equation Group, pour se propager. Celle-ci exploite une vulnérabilité du protocole SMB dans d’anciennes versions de Windows comme Windows XP. Des systèmes qui restent encore largement utilisés partout dans le monde mais qui ne sont plus mis à jour.

Pourtant, un chercheur de Google, Neel Mehta, a remarqué un détail troublant en analysant le code d’une des premières versions de WannaCry. Celui-ci partagerait aussi des similarités avec des extraits attribués au groupe Lazarus, l’unité de hackers de la Corée du Nord, qui serait responsable entre autres du piratage de Sony Pictures. Depuis, le code du ransomware aurait encore évolué.

WannaCry : et si la Corée du Nord était derrière le ransomware ?

L’autre élément relevé par le chercheur et qui supporte, a minima, une attaque commanditée par un Etat, c’est la présence d’un kill switch, un mécanisme permettant de bloquer l’attaque. Un jeune chercheur en sécurité a découvert des références à un site internet non enregistré. Dès que ce dernier a acheté le nom de domaine, l’attaque en cours s’est brutalement arrêtée. Les black hats utilisent rarement ce genre de mécanismes.

Kaspersky Lab estime dans un post de blog que « la découverte de Neel Mehta est l’élément le plus important pour retrouver les oroigines de Wannacry ». Et de relever que les concepteurs du programme ont pu, certes, mettre tout le monde sur une fausse piste. Mais le fait que ce bout de code ait été enlevé dans les versions suivantes est plutôt troublant. Sur son blog, Symantec s’interroge aussi sur les liens du programme avec le pays le plus fermé de la planète :

Bien que ces découvertes n’indique pas de lien définitif entre Lazarus et WannaCry, nous pensons qu’il y a des connexions suffisantes pour justifier de plus amples investigations.

Cela risque encore de prendre du temps avant de connaître avec certitude les commanditaires de ce ransomware. Le site Cnet relève que si toutes les personnes touchées avaient payé la rançon de 300 dollars, les hackers auraient pu récupérer presque 1 milliard de dollars au total.


Qu’avez-vous pensé de cet article ?
Commentaires
744b7d239ea3223ba819cc089dadfb08ssssssssssssssssssssss