Ce n’est pas la première fois que des cybercriminels ciblent les webmasters avec leurs ransomwares dédiés au Web. Cette fois, c’est une campagne malveillante ciblant les sites sous le CMS Drupal qui sont touchés.
Des attaquants ont exploité une vulnérabilité de type injection SQL sur des sites basés sur le CMS Drupal et non mis à jour. La vulnérabilité est vielle de 2 ans ! Le ransomware injecté par les pirates reste heureusement relativement “gentil” : il se contente de verrouiller la page d’accueil du site et de demander une rançon, mais sans chiffrer les fichiers présents sur le serveur. Ouf !
Toutes les versions de Drupal 7.xx sont touchées avant la 7.32. L’opération a fait parler d’elle sur le forum Drupal. Le message affiche :
“Site Web verrouillé. S’il vous plait veuillez transférer 1,4 Bitcoin à l’adresse 3M6SQh8Q6d2j1B4JRCe2ESRLHT4vTDbSM9 pour en déverrouiller le contenu.“
En faisant une recherche sur le moteur de Google avec cette adresse comme requête, on se rend compte rapidement que de multiples sites ont été affectés par l’attaque, mais personne ne semble avoir payé la rançon demandée (pas étonnant puisqu’il s’agit d’un faux ransomware qui ne chiffre pas les fichiers).
Stu Gorton, le PDG et cofondateur de Forkbombus Labs, a fourni des informations indiquant que la première infection a été observée le 11 mars et que le rythme des infections s’est accéléré après le 18 mars. Les pirates scannent le Web à la recherche d’empreintes prouvant que le site en question est vulnérable : le fichier CHANGELOG.txt.
Une fois que les attaquants ont pris le contrôle du site via injection SQL, des opérations automatisées mettent en place une nouvelle page sur la version Drupal du site sur laquelle sera affiché un formulaire d’upload. Le bot se sert de cette page pour uploader différents scripts qui vont extraire des informations comme les adresses mails et les rendre disponibles dans /sites/default/files/ sous forme de fichiers téléchargeables. Le .htaccess sera effacé afin que les pirates puissent avoir accès à la page et y télécharger les fichiers.
Par la suite, un binaire écrit dans le langage de programmation Go sera uploadé : il s’agit du ransomware. Ce dernier va alors supprimer le formulaire d’upload et le remplacer par le fameux message de rançon.
D’après le chercheur en sécurité, il s’agit bien d’un faux ransomware qui ne chiffre pas les fichiers, mais le risque de fuite de donnée et de piratage reste réel puisque la base de données est vidée des précieuses informations utilisateur et qu’un serveur de commande et de contrôle (C&C) semble être utilisé en amont par les attaquants :
« Il doit apparaître qu’il s’agit là d’un faux rançongiciel et non d’un véritable ransomware et rien n’est vraiment chiffré ou verrouillé sur le serveur Web cible. Ici, le contenu des nœuds disponibles a été remplacé par le nouveau message. Cependant, il semblerait que le bot ait quelques difficultés à remplacer les informations sur des nodes avec des formats atypiques, étant donné que, parmi les différents sites compromis que nous avons observés, plusieurs avaient une large portion de leurs données qui s’avéraient être intactes ».
Conclusion : webmasters, pensez à maintenir vos sites à jour !