Après le ransomware Wannacry, voici le virus Adylkuzz
Après le ransomware ‘Wannacry‘, c’est ‘Adylkuzz’ qui prend la relève.
Adylkuzz est le petit nom d’une attaque en cours, qui utilise la même faille que le célèbre Wannacry, mais contrairement à ce dernier, Adylkuzz agit en ‘tâche de fond’ sur les ordinateurs infectés et crée de la monnaie virtuelle pour l’envoyer ensuite aux pirates auteurs de l’attaque.
C’est ce que l’on appelle le ‘cryptomining’.
Est-ce dangereux et que faut il faire pour s’en protéger ?
Vers 11 heures (heure belge) ce mercredi 17 mai 2017, l’entreprise de sécurité Symantec (Norton) lançait une alerte contre le cheval de Troie ‘Adylkuzz’ en précisant qu’il s’agit d’un risque de niveau 1 ‘very low’, donc peu dangereux en principe.
Microsoft estime lui le risque sévère.
Dans l’après-midi, le centre de cybercriminalité (CCB), par la voix de son directeur général Miguel De Bruycker, indiquait pour sa part qu’en Belgique, « aucune infection n’est signalée. ».
Le CCB essaie d’avoir une image de l’impact sur notre pays « .
Du côté des développeurs d’antivirus, tous ont déjà mis en oeuvre des protections contre cette attaque spécifique, et quelques contacts semblent indiquer qu’ils ne sont guère inquiets.
La même recette que Wannacry
La faille utilisée par ‘Adylkuzz’ est la même que celle déjà patchée (corrigée) par Microsoft en mars 2017.
Les victimes devraient donc être les mêmes que pour Wannacry, essentiellement des particuliers et des entreprises mal protégées.
Concrètement, ce logiciel malveillant s’introduit dans des ordinateurs vulnérables grâce à la même faille de Windows utilisée par WannaCry, une faille détectée par la NSA (l’agence de sécurité nationale américaine) mais qui avait fuité sur le net en avril.
Le problème majeur est que ce virus attaque toutes les versions de Windows (Vista, 7, 8, 10) mais surtout la vieille version XP commercialisée entre en 2001 et 2010 à une époque où les attaques sur le net n’avaient pas l’amplitude actuelle. Or, cette version XP ne bénéficie plus des patches de sécurité depuis que Microsoft a cessé de supporter cet antique OS en 2014.
Le Cryptomining c’est quoi?
Dans un système de monnaie virtuelle (cryptomonnaie), il n’existe pas de banque centrale chargée d’imprimer de la monnaie.
Pour vérifier les transactions est mis en place une ‘blockchain’ (chaîne de blocs) qui vérifie qu’une somme payée à un vendeur quitte bien le portefeuille de l’acheteur pour se retrouver sur le compte créditeur du vendeur.
Les banques commencent d’ailleurs a envisager d’utiliser la technique de la Blockcahain.
C’est ce bon fonctionnement des transactions qui constitue le » mining « . Dans ce cas-ci, les pirates parviennent à transgresser le système en créant de l’argent qui sera, ensuite, versé sur leur compte.
Dans le cas présent, la monnaie utilisée n’est pourtant pas le bitcoin, mais le ‘Monero’.
C’est l’usage de cette monnaie moins connue qui pourrait désigner des pirates coréens, ceux-ci ayant déjà utilisé cette monnaie dans le passé.
Le choix du Monero viendrait de sa plus grande vulnérabilité à ce genre d’attaque, alors que le Bitcoin la rend bien plus difficile.
Les 4 conseils majeurs
Il n’existe donc pas de conseil spécifique au nouvel ennemi, mais des précautions de bon sens à respecter en toutes circonstances.
Selon Proofpoint , « Le premier symptôme de l’attaque est un ralentissement des performances de l’ordinateur », mais tant de PC sont lents sans pour autant être infectés par un virus…
Selon la société de sécurité Eset (Nod32), plusieurs centaines de milliers de PC infectés par ce virus permettraient de générer plus d’un millier d’euros, mais l’opération coûterait cher à l’économie globale, ne serait-ce qu’en consommation électrique des ordinateurs infectés.
