WannaCry, un rançongiciel auréolé de mystère

Le rançongiciel WannaCry est-il un échec ? L’interrogation apparaît légitime : il aurait infecté plus de 200 000 systèmes à travers le monde depuis le début de sa propagation en fin de semaine dernière. Mais à ce jour, ses auteurs n’auraient réussi qu’à extorquer environ 1 % de leurs victimes, soit deux centaines de paiements, pour un peu plus de 60 000 $. Et le rythme n’apparaît guère soutenu, avec un peu plus de 13 000 $ collectés au cours des dernières 24 heures. 

The three bitcoin wallets tied to #WannaCry ransomware have received 245 payments totaling 40.12509925 BTC ($68,662.82 USD).

— actual ransom (@actual_ransom) May 16, 2017

A moins qu’il n’y ait là des portefeuilles bitcoins cachés, en plus des trois suivis depuis le début de la diffusion de WannaCry. C’est ce que pense Bitdefender : pour l’éditeur, il faudrait en fait compter avec sept portefeuilles pour un total, à ce jour, de plus de 41,54 bitcoins collectés, soit près de 73 000 $. Mais ce chiffre, non négligeable, reste toutefois relativement peu impressionnant.

C'est un peu tout pourri comme retour sur investissement https://t.co/P6rAzsOzVE

— Luk (@le_luk) May 15, 2017

Le fameux kill switch présent dans deux variantes interroge également sur le professionnalisme appliqué au développement de WannaCry. Sans compter, pour certains observateurs, sur l’aspect manuel de la gestion des rançons et de la fourniture des clés nécessaires au déchiffrement.

Pour autant, certains se demandent désormais si ce ransomware ne serait pas en fait l’œuvre du groupe Lazarus. Neel Mehta, chercheur chez Google, a ainsi publié ce mai des indicateurs plaidant en ce sens. Les équipes de Kaspersky se sont penchées dessus. Selon elles, Neel Mehta a bien mis la main sur un jeune échantillon de WannaCry, remontant à février dernier et présentant des similarités. Matthieu Suiche, de Comae Technologies, s’interroge également. Pour autant, les équipes de Kaspersky s’avèrent très prudentes : pour elles, il est actuellement impossible de conclure et des recherches supplémentaires sont nécessaires.

En parallèle, Proofpoint révèle l’existence d’un autre logiciel malveillant ayant mis à profit l’arsenal de la NSA. Baptisé Adylkuzz, il exploite lui aussi EternalBlue pour se propager, mais ainsi que DoublePulsar pour s’installer. Mais il ne s’agit pas d’un rançongiciel : Adylkuzz détourne des ressources de calcul pour générer de la cryptomonnaie. Mais Proofpoint estime que l’étendue de la propagation pourrait être bien plus grande que celle observée avec WanaCrypt, et pourrait même avoir freiné ce dernier : « cette attaque ferme le service réseau SMB pour prévenir toute infection suivante avec un autre logiciel malveillant via la même vulnérabilité ».