Kaspersky Lab a annoncé dès le premier jour de l’attaque,vendredi 12 mai, dans la soirée les modalités de celle-ci. Elle est baptisée WannaCry. En voici quelques éléments clés :
- L’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif ;
- L’extension “.WCRY” est ajoutée au nom de fichier des données chiffrées ;
- Kaspersky Lab a dénombré plus de 45 000 attaques du ransomware WannaCry dans 74 pays à travers le monde, principalement en Russie. Il est important de noter que la visibilité de Kaspersky Lab peut être limitée et incomplète. Cela signifie que le nombre et l’éventail de victimes sont probablement bien plus larges.
Le rapport complet des experts de Kaspersky Lab est disponible ici : https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
Joel Pascal
Lire aussi...
L'article de la semaine
