L’une des cyber-menaces la plus destructrice et redoutable des dernières années est incontestablement le ransomware. Imaginez les conséquences possibles liées à la récente découverte d’un ransomware visant les serveurs Web sous Linux…
Un ransomware est un programme malveillant qui chiffre fortement tous les documents de l’utilisateur sur la machine infectée et exige ensuite une rançon en Bitcoin en échange d’une clé pour déchiffrement pour récupérer ses précieux fichiers. Jusqu’à ce jour, les cybercriminels ciblaient uniquement les PC, les Mac et les appareils mobiles (Windows, Mac OS X et Android). Mais une découverte très inquiétante d’une firme de sécurité russe vient d’avoir lieu…
Un ransomware Linux spécial serveurs Web
Cette dernière innovation du cybercrime est innocemment baptisée “Linux.Encoder.1” par la firme de sécurité informatique russes Dr.Web, et cible les serveurs Web sous le système d’exploitation Linux. Le binaire malveillant compte actuellement un taux de détection assez bas sur Virustotal.com, un outil gratuit permettant de scanner des fichiers suspects via des dizaines de produits antivirus populaires.
Dans la pratique, ce nouveau malware est injecté via les vulnérabilités des sites Web et va, une fois implanté sur la machine cible, chiffrer tous les fichiers présents dans le répertoire “home” du système. Notons que ce choix est ingénieux car ce dossier comporte généralement tous les éléments liés aux sites Internet hébergés sur le serveur (sauf ceux qui utilisent le répertoire “var” pour leur WWW).
Encore une fois, la problématique des ransomwares s’avère coûteuse, hautement perturbateur, et malheureusement en pleine croissance. Durant le mois de juin, le FBI a déclaré avoir reçu 992 plaintes liées à CryptoWall sur l’année 2014, avec des pertes totalisant plus de 18 millions de dollars. Et cela ne représente que les victimes ayant signalé l’attaque ; mais un énorme pourcentage de la cybercriminalité n’est jamais rapporté aux autorités…
Déjà une victime concrète sous Linux
Début novembre, le serveur d’un professionnel du Web américain a été infecté par cette nouvelle souche redoutable de ransomware Linux. Il s’agit de Daniel Macadar, un concepteur de sites Internet. Il a reçu ensuite un message exigeant une rançon de 1 Bitcoin (environ $420) pour récupérer ses sites :
“Pour obtenir la clé privée et le script PHP pour déchiffrer automatiquement les données de cette machine, vous devez payer 1 Bitcoin. Sans cette clé, vous ne serez jamais en mesure de récupérer vos fichiers.”
Macadar a déclaré que le malware a touché un serveur Web de développement, mais contenant de nombreux projets en cours dont un assez avancé sur le planning. Macadar était en retard sur la sauvegarde de ce serveur, et l’attaque a bien entendu détruit l’ensemble des sites hébergés dessus. Il n’a alors pas eu d’autre choix que de payer la rançon demandée. Mais il lui a fallu un certain temps avant d’être en mesure de comprendre comment ouvrir et financer un compte Bitcoin…
“Je n’ai pas Bitcoins à ce jour, et je n’ai jamais eu l’intention de faire quelque chose avec un Bitcoin dans ma vie”, a t-il dit.
Selon Macadar, les instructions décrites ont été suivies à la lettre et son serveur a été entièrement déchiffré quelques heures plus tard. Cependant, tout n’était pas fonctionnel comme promis…
“Il y a un script dédié au déchiffrement qui met est censé remettre les données comme avant, mais il a endommagé pas mal de fichiers, en ajoutant comme des virgules ou des espaces supplémentaires“, a t-il dit.
Macadar dit qu’il a fait appel à Thomas Raef, étant derrière le service de sécurité Web WeWatchYourWebsite.com, dans le but de l’aider à sécuriser son serveur, et de comprendre comment les assaillants ont procédé. Le chercheur en sécurité a pu déterminer que son client a été infecté par une vulnérabilité non corrigée dans Magento, un logiciel e-commerce que de nombreux sites Web utilisent pour la vente en ligne.
CheckPoint a détaillé cette vulnérabilité en avril 2015 et Magento a publié un correctif, mais de nombreux sites e-commerces prennent du retard sur les mises à jour critiques applicatives.
Une innovation critique
Ce nouveau malware Linux Encoder est la plus récente innovation dans le domaine du ransomware. Comme décrit par le cabinet de sécurité roumain Bitdefender, la dernière version de CryptoWall (CryptoWall 4.0) affiche un message de rançon amélioré expliquant que désormais, même les noms des fichiers de données sont chiffrés et constitués de nombres et des lettres aléatoires. Par chance, Bitdefender a étudié la menace et a découvert une faille dans le malware permettant de déchiffrer les fichiers après une attaque.
Du côté des chiffres sur la menace, il faut savoir que les cybercriminels derrière ce type de programme malveillant augmentent drastiquement les montant des rançons. Ainsi, pour un ransomware ciblant Windows, on peut désormais voir les enchères monter jusqu’à 2,5 Bitcoins (actuellement près de 1000 dollars) pour le déchiffrement des données. De plus, les pirates jouent sur la panique des victimes et n’hésites pas à les menacer de diffuser leurs fichiers sur le Net !
Parade et protection
Outre les règles de sécurité standard (mise à jours des logiciels et de l’OS, antivirus actif et actions réfléchies sur le Net), il faut surtout penser à réaliser des sauvegardes régulières de ses machines (ordinateurs, appareils mobiles ou serveur), et stocker ces dernières sur des périphériques sûrs et donc déconnectés du réseau et de la machine. Le Cloud peut aussi être utilisé dans certains cas.
A noter aussi qu’il ne faut pas utiliser une machine en tant qu’administrateur : en cas d’attaque d’un malware, vous lui donner ainsi les privilèges maximum pour l’infection ! Cela vaut pour un serveur Web, un ordinateur Windows ou tout autre appareil Android / iOS.
Source : KrebsonSecurity
Crédits image : Flickr, Christiaan Colen
Les commentaires sont fermés.