Un mois plus tard, #WannaCry frappe encore !
▻http://www.linformaticien.com/actualites/id/44335/un-mois-plus-tard-wannacry-frappe-encore.aspx
Un mois après la première apparition de WannaCry, une usine Honda a été forcée à l’arrêt suite à une infection du ransomware. Si la propagation du programme a été contenue, des systèmes hors ligne non protégés sont toujours affectés.
[…]
Malware Tech, découvreur du kill-switch, soulève deux hypothèses. WanaCry a pu être introduit dans le réseau interne de l’usine par des laptops renfermant une version dormante du malware. Une fois connectés, ils ont servis de vecteur d’infection, le malware se répandant dans l’infra hors ligne du site. Sans accès Internet, ses requêtes au domaine kill switch restaient sans réponse, permettant sa propagation.
Autre théorie, les proxys. Le ransomware n’a pas été conçu pour les gérer. Si Honda utilise des proxys pour « filtrer » son trafic en interne, WannaCry s’est retrouvé incapable de sortir du réseau interne et donc d’envoyer sa requête au domaine du kill-switch. Il a donc pu poursuivre sa propagation sur l’infrastructure interne, chiffrant les terminaux Windows à sa portée.
Dans un cas comme dans l’autre, cette infection signifie surtout que Honda n’a pas patché ses systèmes Windows, laissant ouverte la vulnérabilité permettant à WannaCry d’infecter ses PC. Mais le constructeur japonais n’est certainement pas le seul : Malware Tech note que le domaine du kill switch reçoit encore 200 000 requêtes chaque jour.