Voila un événement qui démontre encore une fois la dangerosité et la violence inouïe des ransomwares. Un hébergeur Web en Corée du Sud a vu ses 153 serveurs sous Linux piratés et bloqués par le ransomware Erebus. La rançon exigée de 550 bitcoins sera payée…
Des cybercriminels non identifiés ont réussi à compromettre les 153 serveurs de l’hébergeur Web sur-coréen NAYANA via un ransomware Linux baptisé Erebus (RANSOM_ELFEREBUS.A) et exigent une rançon de 550 BTC pour récupérer les précieuses données clients (soit plus d’un million de dollars au cours actuel du Bitcoin). Etant donné la somme demandée en crypto-monnaie, les pirates ont poussé le concept jusqu’à offrir une réduction de 27% (soit 397,6 BTC) et autorisé un paiement en 3 fois ! Pour chaque versement, l’entreprise reçoit les codes de déchiffrement d’un tiers des machines.
Le piratage a eu lieu le 10 juin et 3 400 sites Web d’entreprise sont pris en otage dans cette cyberattaque, comme l’explique Trend Micro. Etant donné que l’hébergeur ne semble pas pouvoir exploiter ses sauvegardes pour rétablir la situation et les données en clair, nul autre choix que de négocier avec les attaquants et payer… sauf que le déchiffrement semble complexe et long, et que de nombreuses données clients se retrouvent corrompues après traitement. Erebus s’attaque en effet à chaque fichier du système et le chiffre selon un algorithme symétrique (RC4). La clé RC4 est elle-même chiffrée selon l’algorithme symétrique AES, dont la clé est ensuite chiffrée par l’algorithme asymétrique RSA-2048. Enfin, la clé privée de ce dernier est détenue par les pirates. Selon Trend Micro, cette méthode rend les fichiers totalement indéchiffrables.
Comment une telle attaque a t’elle était possible ? C’est simple, dans le cas de Nayana, il s’agit tout simplement de la désuétude des systèmes : version Linux datant de 2008 (v.1.3.36), version de Apache / PHP datant de 2006 (5.1.4), bref, tout pour faciliter l’exploitation d’une vulnérabilité critique et l’injection du malware.
Des exploits comme DIRTY COW peuvent fournir aux attaquants un accès racine aux systèmes Linux vulnérables ne représentent que quelques-unes des menaces auxquelles le site a été exposé. En outre, les systèmes de NAYANA utilisent des versions logiciels dont les vulnérabilités sont bien connues et publiques. Il est facile de trouver des exploits dédiés sur le darknet… De plus la configuration Apache de NAYANA utilise le nobody (uid = 99), ce qui permet l’exécution d’un exploit local.
Rappelons bien l’importance cruciale des mise à jour logiciels (y compris sur serveur Web Apache, Nginx ou autre), d’une bonne configuration et des sauvegardes sécurisées !