La popularité de WannaCry a suscité de nombreuses réactions de la part des entreprises de cybersécurité, chacune y allant de son analyse ou de son commentaire. Mais celle que l’on attendait en particulier était celle de la société Kryptos Logic.
La question des chiffres exacts de l’infection mérite également d’être discutée plus en avant. « Le chiffre largement partagé de 200 000 systèmes affectés par l’attaque nous paraît plus ou moins correct, mais reste une fourchette basse » selon Kryptos Logic. En effet selon eux, le nombre réel de machines affectées par la campagne tournerait plutôt aux alentours de 14 ou 16 millions de machines, mais le raisonnement utilisé pour parvenir à ce chiffre mérite quelques explications.
Comme l’ont expliqué bon nombre de sociétés spécialisées en sécurité informatique, le malware infecte tout d’abord la machine, en exploitant notamment la vulnérabilité DOUBLEPULSAR publiée par le groupe des Shadow Brokers. Une fois la machine infectée, le malware va ensuite vérifier le nom de domaine « killswitch » afin de décider de la suite des opérations. Si le nom de domaine est actif, le malware ne chiffre pas les fichiers. Mais il ne disparaît pas pour autant de la machine : il continue de contacter le nom de domaine à intervalles réguliers, attendant le feu vert pour lancer activer le code malveillant et s’attaquer aux fichiers de la cible et dans certains cas, continue de scanner le réseau à la recherche d’autres machines potentiellement vulnérables.
« Nous estimons que plusieurs centaines de milliers de machines ont été directement affectées par le ransomware avant l’activation du kill switch. Suite à l’activation de celui-ci, nous estimons qu’environ 2 à 3 millions de systèmes ont été également affectés, sans que leur fonctionnement n’ait été altéré par le malware. » Des porteurs sains en quelque sorte, qui sont techniquement infectés, mais qui ont échappé à la perte des données grâce à l’initiative salutaire des sociétés de sécurités informatiques.