Cyber-attaque: comment se protéger d'Adylkuzz, successeur de Wannacry?

Après le virus Wannacry, c’est Adylkuzz qui prend la relève. Adylkuzz est le petit nom d’une attaque en cours, qui utilise la même faille que le célèbre " Wannacry ". Mais contrairement à ce dernier, Adylkuzz agit en 'en tâche de fond' sur les ordinateurs infectés et crée de la monnaie virtuelle pour l’envoyer ensuite aux pirates auteurs de l’attaque. C’est ce que l’on appelle le cryptomining. Est-ce dangereux et que faut il faire pour s’en protéger ?

Vers 11 heures ce mercredi (heure belge) l’entreprise de sécurité Symantec (Norton) lançait une alerte contre le cheval de Troie Adylkuzz en précisant qu’il s’agit d’un risque de niveau 1 'very low', donc peu dangereux en principe. Microsoft estime lui le risque sévère. Le développeur d'anti-virus Kaspersky annonce que le malware Adylkuzz s'avère bien moins virulent que Wannacry. L'entreprise n'a détecté que 2300 attaques ces deux dernières semaines, dont la plupart étaient dirigées vers la Russie. Et aucune vers l'Europe.

Dans l’après-midi, le centre de cybercriminalité (CCB), par la voix de son directeur général Miguel De Bruycker, indiquait pour sa part qu’en Belgique, "aucune infection n’est signalée.". Le CCB " essaie d’avoir une image de l’impact sur notre pays ".

Du côté des développeurs d’antivirus, tous ont déjà mis en œuvre des protections contre cette attaque spécifique. Et quelques contacts semblent indiquer qu’ils ne sont guère inquiets.

La même recette

Car la faille utilisée par Adylkuzz est la même que celle déjà patchée (corrigée) par Microsoft en mars dernier. Les victimes devraient donc être les mêmes que pour Wannacry. Essentiellement des entreprises mal protégées.

Le virus serait actif depuis avril déjà et se répand parmi les machines non protégées.

Le problème majeur est que ce virus attaque toutes les versions de Windows (Vista, 7, 8, 10) mais surtout la vieille version XP commercialisée entre en 2001 et 2010 à une époque où les attaques sur le net n’avaient pas l’amplitude actuelle. Or, cette version XP ne bénéficie plus des patches de sécurité depuis que Microsoft a cessé de supporter cet antique OS en 2014.

Le Cryptomining c’est quoi?

Dans un système de monnaie virtuelle (cryptomonnaie), il n’existe pas de banque centrale chargée d’imprimer de la monnaie. Pour vérifier les transactions est mis en place une blockchain (chaîne de blocs) qui vérifie qu’une somme payée à un vendeur quitte bien le portefeuille de l’acheteur pour se retrouver sur le compte créditeur du vendeur. Les banques commencent d’ailleurs a envisager d’utiliser la technique de la Blockcahain.

C’est ce bon fonctionnement des transactions qui constitue le " mining ".  Dans ce cas-ci, les pirates parviennent à transgresser le système en créant de l’argent qui sera, ensuite, versé sur leur compte.

Dans le cas présent, la monnaie utilisée n’est pourtant pas le bitcoin, mais le Monero. C’est l’usage de cette monnaie moins connue qui pourrait désigner des pirates coréens, ceux-ci ayant déjà utilisé cette monnaie dans le passé. Le choix du  Monero viendrait de sa plus grande vulnérabilité à ce genre d’attaque, alors que le Bitcoin la rend bien plus difficile.

Les 4 conseils majeurs

Il n’existe donc pas de conseil spécifique au nouvel ennemi, mais des précautions de bon sens à respecter en toutes circonstances.

  1. Laisser Windows et votre anti-virus réaliser leurs mises à jour de manière automatique.
  2. Ensuite se méfier, comme toujours des mails inattendus, rédigés dans une langue inhabituelle, ou provenant de personnes inconnues.
  3.  Il est aussi conseillé de désactiver les macros intégrées à des fichiers (Word par exemples) attachés. Ces macros contiennent des scripts (des lignes de codes) susceptibles de véhiculer des maliciels.
  4. En cas d’attaque avérée, il faudra pouvoir recourir à une sauvegarde, mais en prenant soin de restaurer une version de sauvegarde suffisamment ancienne pour ne pas déjà avoir été attaquée. Comme le virus circule depuis déjà un mois, certaines sauvegardes peuvent déjà être infectées. 

Selon Proofpoint , " Le premier symptôme de l’attaque est un ralentissement des performances de l'ordinateur". Mais tant de PC sont lents sans pour autant être infectés par un virus…

Selon la société de sécurité Eset, plusieurs centaines de milliers de PC infectés par ce virus permettraient de générer plus d'un millier d'euros, mais l'opération coûterait cher à l'économie globale, ne serait-ce qu'en consommation électrique des ordinateurs infectés.

Les explications d'Olivier Bogaert, commissaire à la Computer Crime Unit, joint au téléphone par Fabrice Gérard

Newsletter info

Recevez chaque jour toutes les infos du moment

Recevoir