Des ordinateurs non protégés permettent à l’exploit EternalBlue de la NSA de perdurer et les machines affectées sont alors bloquées dans un cycle viral interminable. Les nouvelles infections ont alors lieu au niveau du noyau et remplacent les anciennes.
Les ordinateurs vulnérables exécutent généralement une version crackée du système d’exploitation de Windows ainsi que l’ancien protocole SMB1 ciblé par l’attaque EternalBlue.
Les infections EternalBlue perdurent
« Un nombre considérable de machines sont encore infectées de manière répétée plus d’un an après les grandes attaques WannaCry et Petya » explique Mikel Echevarria-Lizarraga, analyste en virus au laboratoire de recherche antivirus Avira. « Nos recherches ont relié ces attaques à des ordinateurs Windows qui n’avaient pas été mis à jour contre l’exploit EternalBlue de la NSA et sont aujourd’hui des cibles privilégiées pour les malwares. »
EternalBlue est une attaque à l’origine compilée par la NSA américaine, puis divulguée par le groupe Shadow Brokers. Elle exploite une vulnérabilité du protocole SMB (Server Message Block) de Microsoft. Munie de cette capacité, elle peut alors exécuter du code de manière arbitraire sur les ordinateurs ciblés. Les hackers ont saisi cette opportunité pour transformer EternalBlue en arme, dans l’attaque WannaCry, puis le rançongiciel Petya en 2017.
Les utilisateurs de versions crackées de Windows courent un risque
« Nous souhaitions identifier les raisons à l’origine d’infections répétées sur certaines machines » poursuit Mikel. « Nous avons trouvé que nombre de ces machines infectées de manière répétée possédaient des codes d’activation crackés, ce qui signifie qu’elles ne peuvent pas ou ne veulent pas mettre à jour Windows ni installer les mises à jour. Cela signifie également qu’elles n’ont pas reçu le correctif d’urgence de Microsoft en mars 2018, visant à corriger cette vulnérabilité. » La solution d’Avira – et une solution suggérée indépendamment par Microsoft – est de désactiver complètement le protocole SMB1. « Nous avons décidé de le désactiver sur les machines qui sont bloquées dans une boucle virale infinie et sur lesquelles les correctifs Windows associés n’avaient pas été installés » ajoute-t-il.
Depuis l’activation de cette solution, Avira a identifié près de 300 000 ordinateurs avec ce problème et la protection Avira désactive actuellement le protocole vulnérable sur près de 14 000 ordinateurs chaque jour. « Cette stratégie semble fonctionner, remarque Mikel, une fois le protocole SMB1 désactivé, ces machines ne sont plus affectées en boucle par le problème. »
Les pays les plus infectés, principalement hors d’Amérique du Nord et d’Europe
Voici la liste Avira des dix pays les plus affectés par ces machines infectées en boucle :
- Indonésie
- Taïwan
- Vietnam
- Thaïlande
- Égypte
- Russie
- Chine
- Philippines
- Inde
- Turquie
La prédominance des machines infectées hors d’Amérique du Nord et d’Europe reflète les études de Statista sur l’utilisation des logiciels sans licence. Cette étude a identifié des taux de logiciels sans licence qui avoisinent les 52-60 % en dehors des USA et de l’Union européenne, et qui tombent à 16 % et 28 % respectivement dans ces régions. Les logiciels fournis sans licence sont en général incapables d’obtenir les derniers correctifs contre les vulnérabilités comme EternalBlue.