La faille dans Windows provoque une deuxième cyber-attaque d’envergure (update)

- © Getty Images/iStockphoto

Une nouvelle cyber-attaque de grande ampleur a contaminé des centaines de milliers d’ordinateurs dans le monde. Le but de cette attaque est de créer et de collecter de l’argent virtuel à l’insu des utilisateurs. Voilà ce qu’annoncent des experts en sécurité informatique à l’agence de presse AFP et qui a été confirmé par l’entreprise de sécurité Sophos à Data News.

Après la cyber-attaque de vendredi passé, où des hackers réclamaient une rançon virtuelle via le virus WannaCry, “des chercheurs de l’entreprise de sécurité IT Proofpoint ont découvert une nouvelle attaque liée à WannaCry et appelée cette fois Adylkuzz”, explique Nicolas Godier, expert en sécurité IT chez Proofpoint: “Le nouveau virus opère de manière plus subtile et exploite les outils de piratage propagés par la NSA, ainsi que les points faibles à présent corrigés par Microsoft.”

Robert Holmes, vice-président de la production chez Proofpoint, évalue la situation comme suit: “L’importance des dégâts n’est pas encore exactement connue, mais nous savons cependant que des centaines de milliers d’ordinateurs peuvent être infectés et que l’attaque est nettement plus ample que ne l’était Wannacry.”

Concrètement, le maliciel (malware) pénètre dans les ordinateurs vulnérables via la même faille dans Windows exploitée par Wannacry. Le malware y crée des unités monétaires virtuelles appelées Monero, comparables au Bitcoin, qui sont invisibles et intraçables. Les données que ces gains permettent, sont alors prélevées et transférées vers des adresses web cryptées.

“Même si l’attaque s’effectue donc de manière plus calme et sans interface utilisateur, Adylkuzz s’avère plus rentable pour les cybercriminels. Les utilisateurs infectés contribuent sans le savoir au gain financier des agresseurs”, ajoute Godier. “Un symptôme de l’attaque, c’est surtout que l’ordinateur de l’utilisateur fonctionne plus lentement”, peut-on lire sur un blog de Proofpoint. Ce blog signale en outre que l’attaque a été lancée le 2 mai, voire le 24 avril déjà et est encore et toujours en cours.

L’entreprise de sécurité a déjà observé des ordinateurs qui ont payé à l’insu de leur utilisateur l’équivalent de quelques milliers de dollars. “Ce genre d’attaque, où un malware crée de l’argent crypté, a déjà eu lieu, mais jamais encore à une si grande échelle”, prétend Robert Holmes.

Update: dans un entretien avec Data News, l’entreprise de sécurité Sophos confirme l’attaque, mais elle ajoute qu’il ne s’agit pas d’une nouvelle agression. “Adylkuzz est un ancien ‘bitcoin mining malware’ (logiciel de minage bitcoin) que Sophos connaît depuis assez longtemps déjà et qui réapparaît à présent sous une nouvelle forme”, explique Lars Putteneers, security advisor chez Sophos. La faille EternalBlue dans Windows par laquelle Wannacry a pu se propager si vite, est donc à nouveau exploitée pour faire entrer un maliciel existant dans des ordinateurs.

Adylkuzz ne prendra pas directement en otage votre ordinateur, mais il n’en est pas moins dangereux, selon Putteneers: “Ses auteurs veulent que les ordinateurs continuent de tourner, afin de pouvoir gagner plus d’argent. C’est possible dans la mesure où l’utilisateur l’ignore totalement car ce malware est moins visible qu’un ransomware (rançongiciel). Mais il est dangereux car si vous pouvez lancer le logiciel bitcoin, vous pouvez aussi en lancer d’autres, ce qui permet aux pirates de découvrir votre nom d’utilisateur et vos mots de passe par exemple. S’ils y parviennent à l’insu des utilisateurs, ils peuvent dérober des données des années durant.”

Comme le malware exploite la même faille que Wannacry, le même patch Windows (MS 17-010) contre en principe aussi les nouvelles infections causées par Adylkuzz. “Il se peut cependant que le logiciel de minage se trouve déjà sur votre ordinateur”, poursuit Putteneers. Il peut y être par exemple déjà depuis avant la pagaille générale de ce week-end ou il a pu y être acheminé d’une autre manière encore.

Contenu partenaire