Un hébergeur Web en Corée du Sud accepte de payer près d'un million d'euros en bitcoins
Suite à une attaque de ransomware Linux
Le 2017-06-20 02:21:29, par Stéphane le calme, Chroniqueur Actualités
Le 10 juin, la société d'hébergement Web sud-coréenne NAYANA a été touchée par le ransomware Eresbus (détecté par Trend Micro en tant que RANSOM_ELFEREBUS.A), qui a infecté 153 serveurs Linux et plus de 3400 sites Web d'entreprise.
Dans un avis publié sur le site Web de NAYANA le 12 juin dernier, la société a partagé que les assaillants ont exigé une rançon sans précédent de 550 bitcoins (BTC), soit 1,27 million d’euros, afin de déchiffrer les fichiers affectés de tous leurs serveurs. Dans une mise à jour le 14 juin, NAYANA a négocié un paiement de 397,6 BTC (environ 916 563 euros) et a versé en acomptes provisionnels. Dans un communiqué publié sur le site Web de NAYANA le 17 juin, il a indiqué que le second des trois paiements a déjà été effectué. Le 18 juin, NAYANA a commencé le processus de récupération des serveurs en lots. Certains des serveurs du deuxième lot connaissent actuellement des erreurs de base de données (DB). Un troisième versement de paiement devrait également être payé après la récupération réussie des premier et deuxième lots de serveurs.
Pour Trend Micro, bien que n'étant pas comparable en termes de montant de rançon, cette situation doit faire remonter en mémoire ce qui est arrivé à l'Hôpital du Kansas, qui n'a pas eu plein accès aux fichiers chiffrés après avoir payé la rançon, mais a été extorqué une seconde fois.
Erebus a été détecté pour la première fois en septembre 2016 dans des messages publicitaires et il a fait à nouveau une apparition en février 2017. Il avait alors utilisé une méthode qui contournait le contrôle de compte d'utilisateur de Windows.
En ce qui concerne la façon dont ce ransomware Linux a été déployé, Trend Micro déduit que Erebus peut potentiellement s’appuyer sur des vulnérabilités ou sur un exploit Linux local. Par exemple, en faisant des recherches, ils ont découvert que le site Web de NAYANA fonctionne sur le noyau Linux 2.6.24.2, compilé en 2008. Les exploits comme DIRTY COW peuvent fournir aux attaquants un accès racine aux systèmes Linux vulnérables ne représentent que quelques-unes des menaces auxquelles le site a été exposé.
En outre, le site Web de NAYANA utilise Apache version 1.3.36 et PHP version 5.1.4, qui ont tous deux été publiés en 2006. Les vulnérabilités Apache et les exploits PHP sont bien connus. En fait, il y avait même un outil vendu expressément dans le dark web pour l'exploitation d'Apache Struts. La version d'Apache dont NAYANA se sert est utilisée comme utilisateur de personne (uid = 99), ce qui indique qu'un exploit local peut aussi avoir été utilisé dans l'attaque.
Plus loin, Trend Micro indique qu’il est important de noter que ce système de ransomware est limité en termes de couverture et est en fait fortement concentré en Corée du Sud. Bien que cela puisse indiquer que cette attaque de ransomware est ciblée, VirusTotal semble éluder cette théorie (plusieurs échantillons ont également été trouvés en Ukraine et en Roumanie). Trend Micro précise qu’il peut également s’agir là d’indicateurs de la présence d’autres chercheurs qui les ont rendus disponibles pour analyse.
Source : Trend Micro
Dans un avis publié sur le site Web de NAYANA le 12 juin dernier, la société a partagé que les assaillants ont exigé une rançon sans précédent de 550 bitcoins (BTC), soit 1,27 million d’euros, afin de déchiffrer les fichiers affectés de tous leurs serveurs. Dans une mise à jour le 14 juin, NAYANA a négocié un paiement de 397,6 BTC (environ 916 563 euros) et a versé en acomptes provisionnels. Dans un communiqué publié sur le site Web de NAYANA le 17 juin, il a indiqué que le second des trois paiements a déjà été effectué. Le 18 juin, NAYANA a commencé le processus de récupération des serveurs en lots. Certains des serveurs du deuxième lot connaissent actuellement des erreurs de base de données (DB). Un troisième versement de paiement devrait également être payé après la récupération réussie des premier et deuxième lots de serveurs.
Pour Trend Micro, bien que n'étant pas comparable en termes de montant de rançon, cette situation doit faire remonter en mémoire ce qui est arrivé à l'Hôpital du Kansas, qui n'a pas eu plein accès aux fichiers chiffrés après avoir payé la rançon, mais a été extorqué une seconde fois.
Erebus a été détecté pour la première fois en septembre 2016 dans des messages publicitaires et il a fait à nouveau une apparition en février 2017. Il avait alors utilisé une méthode qui contournait le contrôle de compte d'utilisateur de Windows.
En ce qui concerne la façon dont ce ransomware Linux a été déployé, Trend Micro déduit que Erebus peut potentiellement s’appuyer sur des vulnérabilités ou sur un exploit Linux local. Par exemple, en faisant des recherches, ils ont découvert que le site Web de NAYANA fonctionne sur le noyau Linux 2.6.24.2, compilé en 2008. Les exploits comme DIRTY COW peuvent fournir aux attaquants un accès racine aux systèmes Linux vulnérables ne représentent que quelques-unes des menaces auxquelles le site a été exposé.
En outre, le site Web de NAYANA utilise Apache version 1.3.36 et PHP version 5.1.4, qui ont tous deux été publiés en 2006. Les vulnérabilités Apache et les exploits PHP sont bien connus. En fait, il y avait même un outil vendu expressément dans le dark web pour l'exploitation d'Apache Struts. La version d'Apache dont NAYANA se sert est utilisée comme utilisateur de personne (uid = 99), ce qui indique qu'un exploit local peut aussi avoir été utilisé dans l'attaque.
Plus loin, Trend Micro indique qu’il est important de noter que ce système de ransomware est limité en termes de couverture et est en fait fortement concentré en Corée du Sud. Bien que cela puisse indiquer que cette attaque de ransomware est ciblée, VirusTotal semble éluder cette théorie (plusieurs échantillons ont également été trouvés en Ukraine et en Roumanie). Trend Micro précise qu’il peut également s’agir là d’indicateurs de la présence d’autres chercheurs qui les ont rendus disponibles pour analyse.
Source : Trend Micro
-
BufferBobExpert éminentbon au delà du fait qu'ils l'ont bien cherché, ça me fait penser au commitstrip d'hier on est en plein dedans...le 20/06/2017 à 8:26
-
PBernard18Membre habituéSur le plan technique, je comprends même pas comment on peut encore aujourd'hui utiliser une plateforme qui ressemble à la Dauphine de course de nos ancêtres. Si encore c'était pour une utilisation en interne où quelques organisations peuvent encore disposer de vieux coucous mais là, offrir un service d'hébergement à des milliers de clients sur la base d'une plateforme archaïque, c'est vraiment d'un irrespect total ?
Sur le plan financement des rançons, c'est là où le bas blesse le plus puisque outre l'incompétence technique ou managériale, l'organisation décide de payer la rançon. J'espère qu'il se feront bien enfumés sur le dernier lot.
Ce qui m'échappe encore, c'est qu'on est soit disant capable de repérer un internaute qui fait des trucs pas très légaux et qu'on arrive pas à mettre la main sur ceux qui organisent les rançons.le 23/06/2017 à 10:27 -
SurferIXMembre chevronnéJe vous avais pas dit que les articles qui diront que le bitcoin c'est le mal et qui vont essayer de le descendre arriveront à la pelle (je ne critique pas dvp, ils l'ont sûrement appris via un site étroitement lié à une banque) ?
Pourquoi on ne parle pas du salaire de Paul Hermelin de 2,7 MILLIONS d'euros ? Comparez avec la grille de salaire de tous les techniciens en informatique : le plus payé est... le directeur commercialhttp://www.ss2ideal.fr/grille-de-salaires/
Je ne m'éloigne pas du sujet, je parle de personnes qui prennent de l'argent là où il ne doivent pas le prendre, et je dis qu'on met en avant ce que les banques essaient de mettre en avant, et on ne met pas assez en avant ce que les banquiers essaient de cacher.
Il y a bien plus de fraudes et de vol avec les banquiers que ce million d'euros du bitcoin. Renseignez-vous !le 23/06/2017 à 10:37