Les chercheurs de Proofpoint ont découvert Adylkuzz, un nouveau virus qui infecte les ordinateurs en utilisant la même méthode que Wannacry, mais avec une cible différente
L'attaque de pirates Wannacry est maintenant devenue le sujet le plus discuté sur les sites Web du secteur et ailleurs. À l'horizon, cependant, se profile une nouvelle attaque de pirates qui utilise les mêmes techniques que Wannacry, mais dans un but complètement différent : générer de la monnaie virtuelle.
Nous parlons d'Adylkuzz, une nouvelle attaque de pirates qui est en cours depuis plusieurs semaines maintenant et qui a affecté des milliers d'ordinateurs dans le monde entier. Contrairement à Wannacry, cependant, les utilisateurs ne savent pas qu'ils ont été infectés : en effet, le malware ne demande aucune rançon et surtout ne bloque pas l'accès à leurs données personnelles. Bien que certains experts tentent de susciter l'inquiétude autour de cette nouvelle attaque de pirates, Adylkuzz est beaucoup moins dangereuse que Wannacry et n'a jusqu'à présent pas volé les données des gens : son seul objectif est de transformer les PC en ordinateurs zombies, c'est-à-dire un appareil infecté par un virus à l'insu de l'utilisateur et permettant au pirate de le contrôler à distance, et de l'utiliser pour générer de la monnaie virtuelle.
Comment fonctionne Adylkuzz
Pour comprendre comment fonctionne Adylkuzz, nous devons faire un petit retour en arrière et parler de Wannacry. Comme nous le savons maintenant, Wannacry est l'attaque pirate qui a été lancée le 12 mai 2017 et qui a infecté plus de 300 000 ordinateurs. Les victimes du virus ont vu s'afficher sur leur écran un message les avertissant que l'accès à leurs données informatiques était bloqué et que, pour lever la restriction, elles devaient payer une rançon de 300 dollars en bitcoins, une monnaie virtuelle difficile à tracer. Dans le jargon technique, Wannacry est une attaque par ransomware qui vise à faire de l'argent sur le dos des pauvres victimes qui veulent récupérer leurs données personnelles. Pour propager le virus, les pirates ont utilisé Eternal Blue, une cyberarme aux mains de la NSA (Agence nationale de sécurité des États-Unis) qui a été volée par un groupe de pirates se faisant appeler Shadow Brokers et mise en ligne afin que tous les pirates puissent l'utiliser pour leurs affaires louches. Cette cyber-arme exploite une faille dans le Windows Server Message Block, qui est le protocole utilisé par le système d'exploitation pour partager des fichiers, des imprimantes et du contenu entre plusieurs ordinateurs interconnectés.
Adylkuzz utilise la même méthode que Wannacry pour infecter les ordinateurs : il exploite la faille SMB de Windows et prend le contrôle de l'ordinateur. Mais contrairement à Wannacry, il ne demande pas de rançon, mais se contente de transformer l'ordinateur en ordinateur zombie pour générer du Monero, une monnaie virtuelle similaire au Bitocin et dont le marché dépasse les 400 millions de dollars. Il est potentiellement beaucoup moins dangereux que Wannacry car il ne vole pas nos données personnelles et ne demande pas de rançon.
Qu'est-ce qu'un ordinateur zombie
La nouvelle attaque de pirates a été découverte par les experts en sécurité informatique de Proofpoint, qui ont indiqué que le virus avait commencé à infecter des ordinateurs dès le 24 avril, mais que jusqu'à présent personne n'avait remarqué sa présence. Adylkuzz a été développé dans un seul but, transformer les appareils en ordinateurs zombies. Si vous vous demandez ce que sont les ordinateurs zombies, la réponse est très simple, il s'agit d'ordinateurs qui ont été infectés par un virus, sans que l'utilisateur ne le sache, et qui permettent au pirate d'en prendre le contrôle et de l'utiliser à des fins illégales. Dans le cas d'Adylkuzz, les ordinateurs zombies sont reliés entre eux pour créer un botnet et commencer à générer la monnaie virtuelle Monero.
Les monnaies virtuelles telles que Monero et Bitcoin sont créées à l'aide de processus cryptographiques compliqués, et pour générer un profit substantiel, il est nécessaire d'utiliser des ordinateurs très puissants reliés entre eux. C'est exactement ce que fait Adylkuzz.
Pourquoi Adylkuzz réussit
Les chercheurs de Proofpoint ont étudié le code de la nouvelle attaque des hackers et ont découvert que ces derniers utilisent des programmes spéciaux capables de rechercher sur Internet les ordinateurs présentant la faille SMB. Une fois la victime trouvée, c'est un jeu d'enfant pour les pirates de l'infecter.
Pourquoi Adylkuzz est-elle moins dangereuse que Wannacry
Doit-on s'alarmer de la nouvelle attaque Adylkuzz ? Non. Et la raison est très simple : Adylkuzz est beaucoup moins impactant que Wannacry et surtout ne spécule pas sur les données personnelles des utilisateurs, mais utilise seulement leurs ordinateurs pour générer une monnaie virtuelle. Le seul problème d'Adylkuzz est qu'il est difficile pour l'utilisateur de savoir s'il a été infecté : en effet, le virus ne donne aucun signal autre qu'un ralentissement général des processus de l'ordinateur.
Comment se défendre contre Adylkuzz
Pour se défendre contre Adylkuzz, la première chose à faire est d'installer le patch MS17-010 que Windows a publié il y a quelques mois pour corriger la faille. De cette façon, votre ordinateur sera protégé contre les attaques possibles de la cyber-arme Ethernal Blue. Toutefois, pour plus de sécurité, vous pouvez également décider de désactiver directement le protocole SMB. Si vous n'êtes pas en mesure de le faire, pas de problème, il suffit de télécharger le programme WannaSmile qui résoudra le problème en quelques secondes. Enfin, n'oubliez jamais d'être prudent lorsque vous cliquez sur des liens ou téléchargez du contenu sur le Net : derrière une bannière publicitaire inoffensive peut se cacher un ransomware ou un virus qui infecte votre PC et en prend le contrôle.