Petit rappel des faits. Vendredi dernier un ransomware nommé WannaCrypt a infecté à une vitesse incroyable des ordinateurs un peu partout dans le monde. Utilisant des failles de la NSA rendue publique par le groupe Shadow Broker (nous vous renvoyons à notre article « La NSA est-elle responsable du ransomware WannaCry ? » que nous avons publié hier pour plus de détails), ce ransomware a pris de court de nombreuses entreprises au début de la semaine et a forcé, par exemple, Renault a fermé ses usines lundi dernier le temps de trouver une solution.
Il achète un nom de domaine et stoppe l’infection mondiale
WannaCry (ou WanaCrypt0r 2.0, ou WannaCrypt) a pourtant été fortement ralentie en début de semaine grâce à l’action d’un hacker anglais surnommé MalwareTech sur Twitter. En fouillant dans le code du ransomware, ce dernier a trouvé une adresse web étrange et très précise : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Sans réfléchir, il a alors acheté le nom de domaine. Quelques minutes après, il s’aperçoit que l’infection a ralenti considérablement.
En fait, cette adresse était une mesure de sécurité mise en place par les développeurs du malware. À chaque infection d’un nouvel ordinateur, WannaCry vérifiait que le site web en question existait. S’il n’existait pas, il infectait de nouveaux PC, chiffrait les fichiers des PC et demandait une rançon. Si le site répondait, il arrêtait immédiatement. Grâce à l’achat de ce nom de domaine (qui lui a coûté un peu moins de 10 euros), MalwareTech a probablement sauvé des milliers de PC.
10 000 dollars de récompense et un an de pizzas gratuites
De MalwareTech, on ne sait pas d’ailleurs pas grand-chose. Sur son compte Twitter, ce hacker anglais indique vouloir rester anonyme pour des raisons de sécurité. C’est tout juste s’il a indiqué travailler actuellement dans une société de sécurité informatique (Kryptos Logic), être jeune et ne posséder aucun diplôme.
So @Hacker0x01 have awarded me a $10,000 bounty for the “kill-switch”. I plan on splitting it between to-be-decided charities and education.
— MalwareTech (@MalwareTechBlog) 15 mai 2017
Cela ne l’empêche pas d’être plutôt bavard sur son compte Twitter. Hier, par exemple, on a appris que l’association HackerOne l’avait récompensé avec une somme de 10 000 dollars pour avoir mis un coup d’arrêt à WannaCry. MalwareTech a alors indiqué qu’il redistribuera l’argent entre des associations caritatives et d’éducation. Et de préciser qu’il achètera également des livres sur la sécurité informatique qu’il donnera à des étudiants qui n’ont pas les moyens d’en acheter. C’est d’ailleurs par ce moyen qu’il a acquis ses compétences en informatique.
By education I mean I plan to purchase infosec based book to give to students who cannot afford them themsleves.
— MalwareTech (@MalwareTechBlog) 15 mai 2017
Dernier point, et c’est sûrement le plus insolite de cette histoire, la société Just Eat UK – un équivalent d’Alloresto anglais – a aussi décidé de le récompenser, mais à sa manière. Elle lui offre en effet un an de pizzas gratuites. Une happy end comme on aimerait en voir plus souvent.
Real superheroes eat pizza and surf. So, @malwaretechblog, here’s a year’s supply of FREE pizza. Massive props. ? https://t.co/10w12XNFG5
— Just Eat UK (@JustEatUK) 16 mai 2017
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
“WannaCrypt a été récompensé par différentes sociétés” … Vous en êtes sûr ?
C’est une faute d’inattention. C’est corrigé !
C’est pas franchement un héro malgré lui, à en lire son post de blog, c’est un professionnel qui sait ce qu’il fait. Et il n’a pas trouvé l’adresse dans le code (au début), il a juste remarqué des connexions vers un nom de domaine non enregistré. L’article en question pour l’histoire complète: https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
“En fait, cette adresse était une mesure de sécurité mise en place par les développeurs du malware. À chaque infection d’un nouvel ordinateur, WannaCry vérifiait que le site web en question existait”
quelqu’un peut m’expliquer en quoi la vérification de l’existence d’un site web contribue à une quelconque sécurité?
Bah concrètement, afin de permettre d’arrêter la propagation d’un virus autonome, qui se réplique et se propage tout seul d’un ordinateur à un autre, tu ajoute dans la routine de propagation une condition sur une requête qui tente d’accéder à un site improbable.
Tant que ce site n’existe pas le virus continue sa routine de propagation.
Si le site existe alors arrêter la routine de propagation.
Comme ça il me suffit de créer le site pour stopper la propagation du virus au cas où il deviendrait “incontrôlable”.
en plus de l’aspect “kill switch” que tu soulignes, l’article linké par Benjamin permet d’en savoir un peu plus sur cette pratique.
Il semblerait que l’implémentation de ce style de pattern permette aux “virus/malware” de moins facilement se faire analyser lorsqu’ils sont sous le microscope d’un environnement de test “sandbox”.
En gros (si erreur corrigez moi), l’analyse/execution dans une sandbox fait que les requetes réseau du code sous analyse vont être résolues par la sandbox plutot que par un DNS externe (d’où le concept de sandbox), et que par conséquent, si le malware fait voit ses requetes vers des noms de domaines improbables résolues/redirigées, il pensera être en train de se faire observer à la loupe, et stoppera ses activités pour ne fournir le moins d’infos possible à la sandbox qui l’analyse.
A noter que ça a arrêté WannaCry(ptor), mais WannaCry 2.0 a pris la relève tout de suite.
Et ça ne date pas du 16…
https://fossbytes.com/researcher-stops-wanacrypt0r-ransomware-accident/
“Un anonyme (mais qui n’est pas MalwareTech) mangeant une pizza devant son PC. Crédit image : Anne Helmond”
Ok les gars … mdrrrrr