Développé par le groupe nord-coréen Lazarus, WannaCry combine un code d'exploitation volé au gouvernement américain et un code personnalisé pour créer un ver logiciel rançonneur. Le ver a été déployé en mai 2017 dans le cadre d'une attaque mondiale qui a infecté environ 200 000 ordinateurs en l'espace de trois jours. En exploitant une vulnérabilité dans les systèmes Windows, le logiciel malveillant peut infecter de nouvelles victimes de manière autonome, ce qui lui permet de se propager de manière exponentielle sur l'internet.
L'étendue du logiciel malveillant et les dégâts qu'il a causés ont fait que l'attaque de trois jours a eu un coût global estimé à plusieurs milliards d'euros.
Cependant, les dommages causés par Wannacry n'ont pas été répartis uniformément entre les différentes entreprises et industries. Des organisations comme le National Health Service (NHS) du Royaume-Uni, qui exploitait un grand nombre de machines vulnérables, ont été particulièrement touchées. Le coût de Wannacry pour le seul NHS est estimé à 100 millions de dollars.
L'épidémie de 2017 n'a été stoppée que par la découverte d'un "kill switch" dans le code de WannaCry, qui, lorsqu'il est déclenché, empêche le logiciel malveillant de se propager davantage ou de crypter les données stockées sur d'autres machines. Depuis l'épidémie de 2017, d'autres attaques par des versions modifiées de WannaCry ont eu lieu. Cependant, aucun d'entre eux n'a atteint la même empreinte, le même coût ou la même reconnaissance que le foyer original.
En tant que type de logiciel rançonneur, il suit une série d'étapes largement standardisées, allant de l'infection initiale à la demande de rançon finale, en passant par le chiffrement des données.
Contrairement à de nombreuses autres variantes du logiciel rançonneur, WannaCry se propage de lui-même et n'est pas véhiculé par des courriels malveillants ou installé par des logiciels malveillants droppers.
La fonctionnalité de ver de WannaCry provient de l'utilisation de l'exploit EternalBlue, qui tire parti d'une vulnérabilité dans le protocole Server Message Block (PME) de Windows. La vulnérabilité a été découverte par la National Security Agency (NSA) et rendue publique par les Shadow Brokers.
Après la fuite d'EternalBlue, Microsoft a publié une version mise à jour de PME qui a corrigé le problème en avril 2017. Bien que cela se soit passé un mois avant l'épidémie principale de WannaCry, de nombreuses organisations n'avaient pas encore installé le correctif, ce qui les rendait vulnérables à WannaCry.
Les machines infectées par WannaCry recherchent sur Internet d'autres machines utilisant une version vulnérable de PME. Si l'un d'eux est trouvé, l'ordinateur infecté utilise EternalBlue pour envoyer et exécuter une copie de WannaCry sur l'ordinateur ciblé. À ce stade, le logiciel malveillant peut commencer à chiffrer les fichiers de l'ordinateur. Cependant, il vérifie d'abord l'existence d'un site web particulier. Si le site web existe, le logiciel malveillant ne fait rien. La présence de ce "kill switch" est considérée comme un moyen d'arrêter la propagation de WannaCry (qui se propage indépendamment une fois lancé) ou comme un moyen de rendre l'analyse médico-légale plus difficile (puisque la plupart des laboratoires de cybersécurité font comme si tout site web demandé par le logiciel malveillant existait). Si le domaine demandé n'est pas trouvé, WannaCry passe à l'étape du chiffrement.
En tant que variante du logiciel rançonneur, WannaCry est conçu pour empêcher un utilisateur d'accéder à ses fichiers sur un ordinateur, à moins qu'une rançon ne soit versée. Pour ce faire, le logiciel malveillant utilise le chiffrement, c'est-à-dire qu'il transforme les données d'une manière qui n'est réversible que si l'on connaît la clé secrète. La clé secrète de WannaCry n'étant connue que de l'opérateur du logiciel rançonneur, la victime est contrainte de payer la rançon pour récupérer ses données.
WannaCry est conçu pour rechercher et crypter une liste de types d'extensions de fichiers sur un ordinateur. Cela permet de minimiser l'impact du logiciel malveillant sur la stabilité du système. Un ordinateur peut ne pas fonctionner si les mauvais fichiers sont cryptés, ce qui empêche la victime de payer une rançon ou de récupérer ses fichiers.
Le logiciel malveillant WannaCry exigeait de ses victimes une rançon de 300 dollars américains. Cependant, la rançon demandée devait être payée en bitcoins, et non en monnaie fiduciaire. En tant que crypto-monnaie, le bitcoin est moins traçable que les monnaies traditionnelles, ce qui est utile aux opérateurs de logiciels rançonneur, car cela leur permet d'intégrer une adresse de paiement (semblable à un numéro de compte bancaire) dans un message de rançon sans que cela n'alerte immédiatement les autorités sur leur identité.
Si une victime d'une attaque WannaCry paie la rançon, elle devrait recevoir une clé de décryptage pour son ordinateur. Cela permet à un programme de décryptage fourni par les cybercriminels d'inverser la transformation effectuée sur les fichiers de l'utilisateur et de rétablir l'accès aux données d'origine.
Le logiciel rançonneur WannaCry dépend fortement de l'exploit EternalBlue pour fonctionner. Les auteurs du logiciel malveillant original ont utilisé cette vulnérabilité pour transformer WannaCry en ver, capable de se propager tout seul. Dans ce cas, le moyen le plus simple de se protéger contre WannaCry est de désactiver PME ou d'installer le correctif fourni par Microsoft qui corrige la vulnérabilité.
Toutefois, il s'agit d'une solution à un problème très spécifique. Il ne protégera pas une organisation contre d'autres variantes du logiciel rançonneur ou contre la propagation de WannaCry par d'autres moyens. Pour savoir comment protéger l'entreprise contre une grande variété de menaces logiciel rançonneur, découvrez la solution anti-logiciel rançonneur de Point de contrôle.