Skip to content
Cyber Breaches
Recherche
RançongicielContenu

Ver rançongiciel WannaCry

Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.

Victime
~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Perte
$6.00B
SecteurSantéIndustrieTélécomsTransport
PaysRoyaume-UniEspagneÉtats-UnisAllemagneRussieChine
GroupeLazarus GroupDPRK RGB
Attaquants nommésPark Jin Hyok
CVECVE-2017-0144CVE-2017-0145

Le 12 mai 2017, un ver rançongiciel nord-coréen baptisé WannaCry a commencé à se propager sur l'internet public via l'exploit SMB EternalBlue. En l'espace de 24 heures, il avait chiffré les systèmes d'environ 200 000 organisations dans 150 pays — l'événement de chiffrement de masse le plus rapide de l'histoire et le premier à perturber gravement un service de santé national.

Ce qui s'est passé

La propagation de WannaCry reposait sur EternalBlue (CVE-2017-0144), l'exploit SMBv1 de la NSA divulgué par le groupe Shadow Brokers le 14 avril 2017. Microsoft avait publié un correctif (MS17-010) le 14 mars, deux mois avant le ver. Les systèmes touchés étaient ceux qui n'avaient pas appliqué le correctif — en très grande majorité des parcs Windows 7 / Server 2008 R2 sur lesquels le protocole hérité SMBv1 était toujours activé.

Le ver scannait les ports SMB accessibles sur l'internet public, déposait son module de chiffrement (nommé wcry.exe) et exigeait 300 dollars en bitcoin par hôte. Il recherchait également des cibles internes supplémentaires, ce qui permettait à l'infection de se propager rapidement au sein d'un réseau compromis — un comportement déjà observé dans des vers destructeurs mais jamais militarisé pour un rançongiciel.

La propagation s'est interrompue brutalement lorsque le chercheur en sécurité Marcus Hutchins (alors connu en ligne sous le nom de MalwareTech) a remarqué que le ver interrogeait un domaine non enregistré avant de chiffrer, et l'a enregistré lui-même. Cette requête était censée servir de mécanisme de détection de bac à sable ; l'enregistrement du domaine a accidentellement activé un kill switch qui a stoppé tout chiffrement ultérieur.

Impact

  • Service national de santé britannique (NHS) : au moins 80 des 236 trusts du NHS perturbés. 19 000 rendez-vous annulés, y compris des traitements anticancéreux et des opérations programmées. Déroutements d'ambulances dans plusieurs régions. L'autopsie du NAO a estimé le coût direct à 92 millions de livres sterling.
  • Telefónica (Espagne) : ~85 % des postes de travail du personnel infectés ; opérations majeures interrompues pendant une journée.
  • Renault : chaînes de production automobile françaises mises à l'arrêt dans plusieurs usines pour vérification de sécurité.
  • Deutsche Bahn : les distributeurs de billets et les panneaux d'affichage des arrivées et départs affichaient des messages de rançon à travers l'Allemagne.
  • FedEx, Honda, Nissan, Hitachi, Boeing : chacun a signalé une perturbation localisée de sa production ou de sa distribution.
  • Ministère russe de l'Intérieur : environ 1 000 ordinateurs compromis.

Dommages mondiaux totaux estimés : 4 à 8 milliards de dollars. Environ 140 000 dollars de paiements de rançon ont été collectés sur seulement trois portefeuilles bitcoin — un montant dérisoire au regard des dommages, ce qui indique que WannaCry était soit une opération de rançongiciel mal conçue, soit (plus probablement selon l'attribution ultérieure) une opération nord-coréenne à visée lucrative ou destructrice utilisant l'habillage du rançongiciel comme couverture.

Attribution

En décembre 2017, les États-Unis, le Royaume-Uni, le Canada, l'Australie, le Japon, la Nouvelle-Zélande et le Danemark ont attribué conjointement WannaCry à la Corée du Nord. En septembre 2018, le ministère américain de la Justice a rendu publique une inculpation désignant l'opérateur du Lazarus Group Park Jin Hyok comme un programmeur ayant participé à WannaCry, à l'attaque de Sony Pictures en 2014 et au braquage SWIFT de la Banque du Bangladesh en 2016. Le dossier médico-légal reliait les trois opérations par du code de malware partagé, la réutilisation de certificats et le chevauchement des infrastructures de commande et de contrôle.

Pourquoi c'est important

WannaCry constitue le cas canonique des vulnérabilités de périmètre non corrigées provoquant des dommages systémiques. Le correctif Microsoft existait depuis deux mois. L'outil de la NSA était public depuis un mois. Chaque système infecté représentait un échec à appliquer des mises à jour connues comme critiques à une infrastructure connue comme exposée.

L'attaque a également catalysé :

  • Le programme d'amélioration de la cybersécurité de plusieurs milliards de livres du NHS britannique et la création du SOC de NHS Digital.
  • La révision du Vulnerabilities Equities Process américain, qui a mis les agences de renseignement sous pression pour divulguer les 0-days plutôt que de les thésauriser.
  • La reconnaissance doctrinale du rançongiciel comme couverture étatique — une opération nord-coréenne ayant utilisé l'habillage du rançongiciel pour masquer son intention et compliquer la réponse.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
6.00B
USD · 6 000 000 000 $US
Rançon demandée
$300
Rançon payée
$140.0K
  • Rançon payée$140.0K
  • Perte d’exploitation$5.50B
  • Remédiation$500.0M

Chronologie

  1. Microsoft publie MS17-010, corrigeant les vulnérabilités SMBv1 ultérieurement militarisées dans WannaCry.

  2. Les Shadow Brokers publient l'exploit EternalBlue (CVE-2017-0144) dérobé à la NSA.

  3. Vers 07h44 UTC, WannaCry commence à se propager. En quelques heures, il a infecté des systèmes sur six continents.

  4. Les hôpitaux du NHS britannique commencent à dérouter les ambulances et à annuler les rendez-vous tandis que les systèmes d'imagerie, les terminaux de dossiers médicaux électroniques et les plannings chirurgicaux se chiffrent.

  5. Le chercheur en sécurité Marcus Hutchins (MalwareTech) enregistre un domaine non enregistré trouvé dans le binaire, activant accidentellement un kill switch qui stoppe la propagation.

  6. Telefónica, Renault, Deutsche Bahn, FedEx, Nissan, Honda, Hitachi et environ 200 000 autres organisations confirment des infections.

  7. Les États-Unis, le Royaume-Uni, le Canada, l'Australie, le Japon, la Nouvelle-Zélande et le Danemark attribuent conjointement WannaCry à la Corée du Nord.

  8. Le DOJ américain rend publique l'inculpation de l'opérateur de Lazarus Park Jin Hyok pour Sony Pictures (2014), le braquage SWIFT de la Banque du Bangladesh (2016) et WannaCry (2017).

Sources

  1. justice.govhttps://www.justice.gov/opa/press-release/file/1092091/dl
  2. gov.ukhttps://www.gov.uk/government/news/cyber-attack-on-the-nhs
  3. malwaretech.comhttps://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
  4. cisa.govhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa17-132a

Incidents liés

WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B
RançongicielContenu

Arrêt mondial de production chez Jaguar Land Rover (Scattered Lapsus$ Hunters, 2025)

Une cyberattaque contre le plus grand constructeur automobile britannique a contraint JLR à couper son réseau informatique mondial et a interrompu la production de véhicules au Royaume-Uni, en Chine, en Slovaquie, en Inde et au Brésil pendant cinq semaines — désormais considérée comme l'incident cyber le plus économiquement dommageable de l'histoire du Royaume-Uni.

Victim
Jaguar Land Rover
Loss
$2.40B
private-keypartially-recovered

Casse du Ronin Bridge

Des opérateurs de Lazarus ont compromis cinq des neuf nœuds validateurs de Ronin et falsifié des signatures de retrait, siphonnant 173 600 ETH et 25,5 millions d'USDC (~625 M$) — le plus important vol de cryptomonnaie jamais enregistré à l'époque.

Victim
Sky Mavis / Axie Infinity / Ronin Network
Loss
$625.0M
Espionnagestolen

Casse SWIFT de la Bangladesh Bank

Des opérateurs de Lazarus ont envoyé des instructions SWIFT frauduleuses via la Fed de New York pour virer 951 millions de dollars du compte de réserve de la Bangladesh Bank. Une faute de frappe sur un virement a bloqué 850 M$ ; 81 M$ se sont tout de même échappés vers des casinos philippins.

Victim
Bangladesh Bank
Loss
$81.0M