Découvert en 2008, le malware Conficker fait son retour et attaque de nouveau les appareils connectés moins sécurisés. Sa prolifération est due à la mauvaise fiabilité de l'IoT qui lui a permis d'affecter des équipements non pris en charge en 2020. Il vise surtout les appareils les plus vulnérables, notamment ceux utilisés dans le secteur de la santé.
Si l'on tient compte de l'histoire de ce ver informatique, il aurait déjà été éradiqué il y a bien longtemps. Mais l'évolution de l'IoT et des systèmes d'exploitation sans mise à jour laisse les réseaux ouverts à des attaques de cybercriminalité. De nombreux cas d'infection ont été repérés, ce qui est assez alarmant pour les utilisateurs de PC Windows.
Comment ce ver informatique agit-il ?
Conficker exploite les failles de Windows XP et des anciens systèmes d'exploitation Microsoft dans le but d'infecter des machines vulnérables et de relier ces dernières à un botnet. Ce malware représente une grande menace pour les organisations du monde entier. Bien que ce code malicieux n'ait pas été supprimé définitivement, ses programmeurs se sont montrés réticents pour l'emploi du botnet Conficker, après avoir attiré l'attention sur eux. Mais depuis un certain temps, il a été observé que le ver est resté actif et que plus d'un millier d'appareils seraient aujourd'hui infectés.
Les chercheurs indiquent que le chiffre s'élève à 500 000 machines vulnérables et sujettes à ce virus informatique. Ce dernier continue de se propager en s'attaquant aux appareils médicaux connectés. En effet, la plupart des machines utilisées dans les centres médicaux possèdent des versions obsolètes ou ne sont pas souvent mises à jour (Windows). C'est ce qui a permis à Conficker de s'introduire facilement dans leurs systèmes, et, par conséquent, augmenter le nombre de machines infectées.
Comment a-t-on identifié la nouvelle menace Conficker ?
Un incident particulier a attiré l'attention des experts lorsque le logiciel de sécurité Zingbox IoT de Palo Alto Networks a détecté un trafic inhabituel sur le réseau. En effet, ils ont constaté un trafic réseau anormal de nature SMB ou Server Message Block. Le mouvement a surtout affiché des algorithmes de génération de domaine (DGA) représentatif d'une contamination.
L'activité inhabituelle provenait d'une machine de mammographie et en quelques jours, Conficker avait également infecté des appareils médicaux supplémentaires sur le réseau, y compris une autre machine de mammographie, une unité d'imagerie numérique, un appareil de radiologie, etc. Le personnel de l'hôpital a tenté de supprimer les infections en redémarrant ces appareils connectés, mais quelques heures après la remise en ligne des machines, Conficker les avait à nouveau infectées. Ceci est le résultat d'un non-apport de mis à jour des systèmes de sécurité rendant les machines vulnérables à de vieux logiciels malveillants.
Pourquoi le malware s'attaque-t-il aux appareils médicaux connectés ?
L'une des principales raisons pour lesquelles le ver informatique, âgé de 12 ans, s'est propagé sur les appareils médicaux réside dans le fait que bon nombre de ces machines IoT ne sont pas surveillées. Ce qui occasionne une ouverture pour les logiciels malveillants ou les cyberattaquants à accéder au réseau.
Les pirates le savent et tournent donc de plus en plus leur attention vers le développement de botnets spécifiques à l'IoT tels que Mirai. Les versions du code source de Mirai ont aidé à propulser un certain nombre d'attaques basées sur l'IoT.
- Partager l'article :