Une nouvelle cyberattaque de grande ampleur est en cours

Alain Brian
Mai 20, 2017

Cet argent peut être facilement récupéré ensuite par les pirates, puisque les transactions en monnaies virtuelles sont anonymes et quasiment impossibles à tracer.

Si, ainsi que le constatent nos collègues du Monde Informatique, le retour sur investissement de l'attaque du rançongiciel WannaCry est loin d'être impressionnant (76.000 dollars pour 200.000 ordinateurs infectés, voir beaucoup plus), l'attaque Adylkuzz, qui vient d'être repérée par Prooftpoint, apparaît bien plus redoutable.

L'attaque est quasi-invisible pour l'utilisateur, expliquent aussi les différents experts interrogés par l'AFP. Elle a pour point commun d'exploiter la même vulnérabilité Windows que WannaCry - et donc corrigée (MS17-010) - sur le port TCP 445. DoublePulsar est une backdoor installée par l'agence de sécurité américaine.

Ce virus, qui appuie la thèse d'une implication de la Corée du Nord dans cette vague de cyberattaques, a commencé à infecter des machines fin avril ou début mai mais n'avait pas encore été découvert car il ne bloque pas les ordinateurs, tout en continuant à créer de la monnaie virtuelle, déclarent des spécialistes de la société Proofpoint.

"Les symptômes de l'attaque sont (notamment) un ralentissement des performances de l'ordinateur", précise l'entreprise Proofpoint.

Les experts expliquent "Bien que plus silencieuse et sans interface utilisateur, l'attaque d'Adylkuzz est plus rentable pour les cybercriminels". Selon Kafeine, l'attaque est antérieure à celle de WannaCry (également référencées comme WCry ou encore WanaCryptor).

D'ailleurs, Adylkuzz pourrait s'inscrire comme un sérieux concurrent du fameux ramsomware planétaire. À tel point que Adylkuzz, qui désactive le SMB v1 du système pour ne pas qu'un autre malware s'installe sur ce dernier, aurait contribué à ralentir la propagation de WannaCry.

Les experts en sécurité de Proofpoint ont détecté un nouveau virus utilisant exactement les mêmes failles zero-day que WannaCry mais au mode de fonctionnement radicalement différent. Faible lot de consolation pour les organisations touchées. Si vous remarquez une lenteur inhabituelle, votre ordinateur est peut-être contaminé. " Deux campagnes majeures utilisent maintenant les outils d'attaque [de la NSA] et la vulnérabilité [Microsoft], constate le chercheur". N'hésitez pas à nous laisser un commentaire et nous reviendrons vers vous le plus vite possible.

D'autres rapports CampDesrEcrues

Discuter de cet article

SUIVRE NOTRE JOURNAL