L’un des crimes informatiques les plus courants et les plus destructeurs qui ait émergé au cours des dernières années implique rançongiciel — un code malveillant qui brouille discrètement tous les documents et fichiers de l’utilisateur infecté avec un cryptage très puissant. Une rançon, à payer en Bitcoin, est exigée en échange d’une clé pour déverrouiller les fichiers. Eh bien, il semble maintenant que les fraudeurs développent des rançongiciels qui font la même chose mais pour les sites Web — contenant essentiellement les fichiers, les pages et les images du site contre une rançon.
Image : Kaspersky Lab
Cette dernière innovation criminelle, anodinement surnommée «Linux.Encoder.1” par une société russe d’antivirus et de sécurité Dr Web, cible les sites équipés du système d’exploitation Linux. Le dossier contient actuellement détection presque nulle lorsqu’ils sont examinés par des produits antivirus à Virustotal.comun outil gratuit pour analyser les fichiers suspects par rapport à des dizaines de produits antivirus populaires.
En règle générale, le logiciel malveillant est injecté dans les sites Web via des vulnérabilités connues dans les plug-ins du site ou des logiciels tiers, tels que les programmes de panier d’achat. Une fois sur une machine hôte, le logiciel malveillant cryptera tous les fichiers des répertoires « home » du système, ainsi que les répertoires de sauvegarde et la plupart des dossiers système généralement associés aux fichiers, images, pages, bibliothèques de codes et scripts du site Web.
Le problème des rançongiciels est coûteux, extrêmement perturbateur et croissant. En juin, le FBI mentionné il a reçu 992 plaintes liées à CryptoWall au cours de l’année précédente, avec des pertes totalisant plus de 18 millions de dollars. Et cela ne concerne que les victimes qui ont signalé les crimes au gouvernement américain ; un pourcentage énorme de cybercrimes ne sont jamais signalés du tout.
UNE VICTIME RÉCENTE
Le 4 novembre, le ramsomware du site Web Linux a infecté un serveur utilisé par un concepteur de site Web professionnel Daniel Macadar. Le message de rançon se trouvait dans un fichier en texte brut appelé « instructions pour décrypter » qui était inclus dans chaque répertoire de fichiers contenant des fichiers cryptés :
« Pour obtenir la clé privée et le script php de cet ordinateur, qui décryptera automatiquement les fichiers, vous devez payer 1 bitcoin(s) (~ 420 USD) », indique l’avertissement. « Sans cette clé, vous ne pourrez jamais récupérer vos fichiers originaux. »
Macadar a déclaré que le logiciel malveillant avait frappé l’un de ses serveurs Web de développement qui hébergeait également des sites Web pour quelques amis de longue date. Macadar était en retard dans la sauvegarde du site et du serveur, et l’attaque avait rendu ces sites inutilisables. Il a dit qu’il n’avait pas d’autre choix que de payer la rançon. Mais il lui a fallu un certain temps avant de pouvoir comprendre comment ouvrir et financer un compte Bitcoin.
« Je n’avais pas de Bitcoins à ce moment-là, et je n’avais jamais prévu de faire quoi que ce soit avec Bitcoin dans ma vie », a-t-il déclaré.
Selon Macadar, les instructions ont fonctionné comme décrit et environ trois heures plus tard, son serveur a été entièrement décrypté. Cependant, tout n’a pas fonctionné comme il aurait dû.
« Il y a un script de déchiffrement qui remet les données, mais d’une manière ou d’une autre, il a mangé des caractères dans quelques fichiers, ajoutant comme une virgule ou un espace supplémentaire ou quelque chose aux fichiers », a-t-il déclaré.
Macadar a déclaré avoir embauché Thomas Raïf — propriétaire du service de sécurité du site Web WeWatchYourWebsite.com – pour aider à sécuriser son serveur après l’attaque et pour comprendre comment les attaquants sont entrés. Raef m’a dit que le site de son client avait été infecté via une vulnérabilité non corrigée dans Magentoun logiciel de panier d’achat que de nombreux sites Web utilisent pour gérer les paiements de commerce électronique.
Point de contrôle détaillé cette vulnérabilité en avril 2015 et Magento a publié un correctif, mais de nombreux petits sites de commerce électronique prennent du retard sur les mises à jour critiques pour les applications tierces telles que les logiciels de panier d’achat. Ici aussi sont probablement d’autres exploits publiés récemment qui peut exposer un hôte Linux et tous les services Web associés aux attaquants et aux rançongiciels basés sur le site.
INNOVATIONS DU SOUTERRAIN
Ce nouveau malware Linux Encoder n’est qu’une des nombreuses innovations récentes en matière de ransomware. Tel que décrit par la société de sécurité roumaine Bitdefenderla dernière version du CryptoWall package crimeware (oui, il s’appelle en fait CryptoWall 4.0) affiche un message de rançon repensé qui crypte les noms de fichiers avec les données de chaque fichier ! Chaque fichier crypté porte un nom composé de chiffres et de lettres aléatoires.
Mise à jour : 18 h 09 HE : Bitdefender a publié un article de blog indiquant que le ransomware qui fait l’objet de cet article contient une faille qui permet à l’entreprise de déchiffrer les fichiers qui ont été chiffrés par ce malware. Voir leur poste ici.
Histoire originale :
Et si vous avez de la chance, le rançongiciel qui attaque votre ordinateur ou votre organisation ne sera pas bourré de bogues : selon la BBCune erreur de codage dans une nouvelle menace de rançon appelée Ver de puissance signifie que les victimes ne récupéreront pas leurs fichiers même si elles paient. Laurent Abrams sur BleepingComputer.com (l’un des premiers blogs ajoutés au blogroll de ce site) a été le premier à écrire sur cette innovation, et sa rédaction vaut la peine d’être lu.
Les attaques de rançongiciels traditionnels deviennent également plus coûteuses, du moins pour les nouvelles menaces qui se concentrent actuellement sur les banques européennes (et non américaines). Selon une entreprise d’éducation à la sécurité KnowBe4, une nouvelle attaque de ransomware ciblant les ordinateurs Windows commence comme une infection de ransomware « normale », cryptant à la fois les fichiers locaux et réseau et lançant une demande de rançon pour 2,5 Bitcoin (actuellement près de 1 000 USD). Voici l’astuce : dans la demande de rançon qui s’affiche sur l’écran de la victime, les attaquants affirment que s’ils ne sont pas payés, ils publieront les fichiers sur Internet.
Crim-innovations.
Eh bien, c’est une façon de récupérer vos fichiers. C’est la réalité qui apparaît à d’innombrables personnes pour la première fois chaque jour : ne sauvegardez pas vos fichiers en toute sécurité, que ce soit sur votre ordinateur ou votre site Web, et les malfaiteurs pourraient éventuellement les sauvegarder pour vous ! ‘
Oh, la sauvegarde ne sera pas sécurisée et vous ne pourrez probablement pas supprimer les informations d’Internet s’ils donnent suite à de telles menaces.
Les outils permettant de sauvegarder en toute sécurité des ordinateurs, des sites Web, des données et même des disques durs entiers n’ont jamais été aussi abordables et omniprésents. Il n’y a donc aucune excuse pour ne pas développer et s’en tenir à une bonne stratégie de sauvegarde, que vous soyez un utilisateur à domicile ou un administrateur de site Web.
PC World publié l’année dernière un bon guide pour les utilisateurs de Windows qui souhaitent profiter des capacités de sauvegarde intégrées du système d’exploitation. J’ai personnellement utilisé les produits Acronis et Macrium, et je trouve que les deux font du bon travail, ce qui facilite la sauvegarde de votre plate-forme. L’essentiel est de prendre l’habitude de faire des sauvegardes régulières.
Il existe de bons guides partout sur Internet montrant aux utilisateurs comment sauvegarder en toute sécurité des systèmes Linux (en voici un). D’autres tutoriels sont plus spécifiques au système d’exploitation. Par exemple, voici une approche de sauvegarde sensée pour DebianName les serveurs. J’aimerais entendre les lecteurs parler de leurs stratégies de sauvegarde – ce qui fonctionne – en particulier de ceux qui maintiennent des serveurs Web basés sur Linux comme apache et Nginx.
Il convient de noter que le logiciel malveillant nécessite que le compte d’utilisateur compromis sur le système Linux soit un administrateur ; l’exploitation de serveurs Web et de services Web en tant qu’administrateur est généralement considérée comme une mauvaise forme de sécurité, et des menaces comme celle-ci ne font que renforcer pourquoi.
En outre, la plupart des rançongiciels recherchent d’autres réseaux ou partages de fichiers qui sont attachés ou en réseau à la machine infectée. S’il peut accéder à ces fichiers, il tentera également de les chiffrer. C’est une bonne idée de laisser votre support de sauvegarde déconnecté du système à moins et jusqu’à ce que vous sauvegardiez ou restaurez des fichiers.
Pour sa part, Macadar a déclaré qu’il reconstruisait le serveur compromis et qu’il sauvegardait maintenant son serveur à deux endroits à la fois – en utilisant des lecteurs de sauvegarde locaux sur site ainsi que des services de sauvegarde à distance (basés sur le Web).
Mise à jour, 9 h 48, HE : Ajout d’une référence à l’article de la BBC.