Un hébergeur Web en Corée du Sud accepte de payer près d'un million d'euros en bitcoins
Suite à une attaque de ransomware Linux

Le , par Stéphane le calme, Chroniqueur Actualités
Le 10 juin, la société d'hébergement Web sud-coréenne NAYANA a été touchée par le ransomware Eresbus (détecté par Trend Micro en tant que RANSOM_ELFEREBUS.A), qui a infecté 153 serveurs Linux et plus de 3400 sites Web d'entreprise.

Dans un avis publié sur le site Web de NAYANA le 12 juin dernier, la société a partagé que les assaillants ont exigé une rançon sans précédent de 550 bitcoins (BTC), soit 1,27 million d’euros, afin de déchiffrer les fichiers affectés de tous leurs serveurs. Dans une mise à jour le 14 juin, NAYANA a négocié un paiement de 397,6 BTC (environ 916 563 euros) et a versé en acomptes provisionnels. Dans un communiqué publié sur le site Web de NAYANA le 17 juin, il a indiqué que le second des trois paiements a déjà été effectué. Le 18 juin, NAYANA a commencé le processus de récupération des serveurs en lots. Certains des serveurs du deuxième lot connaissent actuellement des erreurs de base de données (DB). Un troisième versement de paiement devrait également être payé après la récupération réussie des premier et deuxième lots de serveurs.

Pour Trend Micro, bien que n'étant pas comparable en termes de montant de rançon, cette situation doit faire remonter en mémoire ce qui est arrivé à l'Hôpital du Kansas, qui n'a pas eu plein accès aux fichiers chiffrés après avoir payé la rançon, mais a été extorqué une seconde fois.

Erebus a été détecté pour la première fois en septembre 2016 dans des messages publicitaires et il a fait à nouveau une apparition en février 2017. Il avait alors utilisé une méthode qui contournait le contrôle de compte d'utilisateur de Windows.

En ce qui concerne la façon dont ce ransomware Linux a été déployé, Trend Micro déduit que Erebus peut potentiellement s’appuyer sur des vulnérabilités ou sur un exploit Linux local. Par exemple, en faisant des recherches, ils ont découvert que le site Web de NAYANA fonctionne sur le noyau Linux 2.6.24.2, compilé en 2008. Les exploits comme DIRTY COW peuvent fournir aux attaquants un accès racine aux systèmes Linux vulnérables ne représentent que quelques-unes des menaces auxquelles le site a été exposé.

En outre, le site Web de NAYANA utilise Apache version 1.3.36 et PHP version 5.1.4, qui ont tous deux été publiés en 2006. Les vulnérabilités Apache et les exploits PHP sont bien connus. En fait, il y avait même un outil vendu expressément dans le dark web pour l'exploitation d'Apache Struts. La version d'Apache dont NAYANA se sert est utilisée comme utilisateur de personne (uid = 99), ce qui indique qu'un exploit local peut aussi avoir été utilisé dans l'attaque.

Plus loin, Trend Micro indique qu’il est important de noter que ce système de ransomware est limité en termes de couverture et est en fait fortement concentré en Corée du Sud. Bien que cela puisse indiquer que cette attaque de ransomware est ciblée, VirusTotal semble éluder cette théorie (plusieurs échantillons ont également été trouvés en Ukraine et en Roumanie). Trend Micro précise qu’il peut également s’agir là d’indicateurs de la présence d’autres chercheurs qui les ont rendus disponibles pour analyse.

Source : Trend Micro


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 20/06/2017 à 8:26
Citation Envoyé par Stéphane le calme Voir le message
le site Web de NAYANA fonctionne sur le noyau Linux 2.6.24.2, compilé en 2008 (...) Apache version 1.3.36 et PHP version 5.1.4, qui ont tous deux été publiés en 2006.
bon au delà du fait qu'ils l'ont bien cherché, ça me fait penser au commitstrip d'hier on est en plein dedans...
Avatar de PBernard18 PBernard18 - Membre régulier https://www.developpez.com
le 23/06/2017 à 10:27
Sur le plan technique, je comprends même pas comment on peut encore aujourd'hui utiliser une plateforme qui ressemble à la Dauphine de course de nos ancêtres. Si encore c'était pour une utilisation en interne où quelques organisations peuvent encore disposer de vieux coucous mais là, offrir un service d'hébergement à des milliers de clients sur la base d'une plateforme archaïque, c'est vraiment d'un irrespect total ?

Sur le plan financement des rançons, c'est là où le bas blesse le plus puisque outre l'incompétence technique ou managériale, l'organisation décide de payer la rançon. J'espère qu'il se feront bien enfumés sur le dernier lot.

Ce qui m'échappe encore, c'est qu'on est soit disant capable de repérer un internaute qui fait des trucs pas très légaux et qu'on arrive pas à mettre la main sur ceux qui organisent les rançons.
Avatar de SurferIX SurferIX - Membre chevronné https://www.developpez.com
le 23/06/2017 à 10:37
Je vous avais pas dit que les articles qui diront que le bitcoin c'est le mal et qui vont essayer de le descendre arriveront à la pelle (je ne critique pas dvp, ils l'ont sûrement appris via un site étroitement lié à une banque) ?
Pourquoi on ne parle pas du salaire de Paul Hermelin de 2,7 MILLIONS d'euros ? Comparez avec la grille de salaire de tous les techniciens en informatique : le plus payé est... le directeur commercial http://www.ss2ideal.fr/grille-de-salaires/
Je ne m'éloigne pas du sujet, je parle de personnes qui prennent de l'argent là où il ne doivent pas le prendre, et je dis qu'on met en avant ce que les banques essaient de mettre en avant, et on ne met pas assez en avant ce que les banquiers essaient de cacher.
Il y a bien plus de fraudes et de vol avec les banquiers que ce million d'euros du bitcoin. Renseignez-vous !
Offres d'emploi IT
Chef de projet SI infrastructure H/F
Michael Page - Ile de France - Aubervilliers (93300)
Administrateur dba oracle
D&B SELECTION - Provence Alpes Côte d'Azur - Nice (06000)
Administrateur systèmes et réseaux H/F
Confidentiel - Ile de France - Orsay (91400)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil