Une autre cyberattaque massive lancée
Après WannaCry, une autre attaque informatique massive a été découverte en début de semaine: Adylkuzz exploite les mêmes failles de sécurité que WannaCry. Il enrichit les pirates en créant de la monnaie virtuelle
«On ne connaît pas encore l’ampleur [des dégâts] mais des centaines de milliers d’ordinateurs» pourraient avoir été infectés, a indiqué mercredi Robert Holmes, vice-président Produit chez Proofpoint. Il assure que l’attaque est «de bien plus grande envergure» que WannaCry et a débuté avant cette dernière, le 2 mai, voire le 24 avril.
Proofpoint affirme avoir d’ailleurs détecté Adylkuzz en enquêtant sur WannaCry. Ce virus qui a frappé plus de 300000 ordinateurs en fin de semaine dernière a notamment paralysé les services de santé britanniques et des usines du constructeur automobile français Renault.
Faille de Windows
Concrètement, Adylkuzz s’introduit dans des PC vulnérables grâce à la même faille de Windows utilisée par WannaCry, un problème détecté par la NSA (l’agence de sécurité nationale américaine) mais qui a fuité sur le Net en avril. La divulgation des données avait été revendiquée par le groupe de pirates Shadow Brokers.
Le «malware» exploite alors l’ordinateur contaminé pour créer, de façon invisible, des unités d’une monnaie virtuelle appelée Monero, comparable au bitcoin.
Même si le bitcoin, la plus connue des monnaies virtuelles, garantit un anonymat à ses utilisateurs, ses transactions restent traçables. Monero va elle encore plus loin dans l’opacité puisque la chaîne de transactions est complètement cryptée, ce qui en fait un outil prisé des pirates.
Avec Adylkuzz, les ordinateurs créent de la monnaie, «ce n’est pas de l’argent qui est volé» à qui que ce soit, résume Gérôme Billois, expert au cabinet Wavestone. L’attaque est quasi invisible pour l’utilisateur, expliquent aussi les différents experts interrogés.
«Les symptômes de l’attaque sont un accès plus difficile aux contenus partagés Windows et un ralentissement des performances de l’ordinateur», précise Proofpoint dans une note de blog, selon laquelle l’attaque est toujours en cours.
Paradoxalement, cette attaque «est moins impactante que WannaCry puisqu’elle n’entraîne pas d’interruption des services», conclut Gérôme Billois.
▅