Un hébergeur Web en Corée du Sud accepte de payer près d'un million d'euros en bitcoins,
suite à une attaque de ransomware Linux
Le 10 juin, la société d'hébergement Web sud-coréenne NAYANA a été touchée par le ransomware Eresbus (détecté par Trend Micro en tant que RANSOM_ELFEREBUS.A), qui a infecté 153 serveurs Linux et plus de 3400 sites Web d'entreprise.
Dans un avis publié sur le site Web de NAYANA le 12 juin dernier, la société a partagé que les assaillants ont exigé une rançon sans précédent de 550 bitcoins (BTC), soit 1,27 million d’euros, afin de déchiffrer les fichiers affectés de tous leurs serveurs. Dans une mise à jour le 14 juin, NAYANA a négocié un paiement de 397,6 BTC (environ 916 563 euros) et a versé en acomptes provisionnels. Dans un communiqué publié sur le site Web de NAYANA le 17 juin, il a indiqué que le second des trois paiements a déjà été effectué. Le 18 juin, NAYANA a commencé le processus de récupération des serveurs en lots. Certains des serveurs du deuxième lot connaissent actuellement des erreurs de base de données (DB). Un troisième versement de paiement devrait également être payé après la récupération réussie des premier et deuxième lots de serveurs.
Pour Trend Micro, bien que n'étant pas comparable en termes de montant de rançon, cette situation doit faire remonter en mémoire ce qui est arrivé à l'Hôpital du Kansas, qui n'a pas eu plein accès aux fichiers chiffrés après avoir payé la rançon, mais a été extorqué une seconde fois.
Erebus a été détecté pour la première fois en septembre 2016 dans des messages publicitaires et il a fait à nouveau une apparition en février 2017. Il avait alors utilisé une méthode qui contournait le contrôle de compte d'utilisateur de Windows.
En ce qui concerne la façon dont ce ransomware Linux a été déployé, Trend Micro déduit que Erebus peut potentiellement s’appuyer sur des vulnérabilités ou sur un exploit Linux local. Par exemple, en faisant des recherches, ils ont découvert que le site Web de NAYANA fonctionne sur le noyau Linux 2.6.24.2, compilé en 2008. Les exploits comme DIRTY COW peuvent fournir aux attaquants un accès racine aux systèmes Linux vulnérables ne représentent que quelques-unes des menaces auxquelles le site a été exposé.
En outre, le site Web de NAYANA utilise Apache version 1.3.36 et PHP version 5.1.4, qui ont tous deux été publiés en 2006. Les vulnérabilités Apache et les exploits PHP sont bien connus. En fait, il y avait même un outil vendu expressément dans le dark web pour l'exploitation d'Apache Struts. La version d'Apache dont NAYANA se sert est utilisée comme utilisateur de personne (uid = 99), ce qui indique qu'un exploit local peut aussi avoir été utilisé dans l'attaque.
Plus loin, Trend Micro indique qu’il est important de noter que ce système de ransomware est limité en termes de couverture et est en fait fortement concentré en Corée du Sud. Bien que cela puisse indiquer que cette attaque de ransomware est ciblée, VirusTotal semble éluder cette théorie (plusieurs échantillons ont également été trouvés en Ukraine et en Roumanie). Trend Micro précise qu’il peut également s’agir là d’indicateurs de la présence d’autres chercheurs qui les ont rendus disponibles pour analyse.
Source : Trend Micro
Partager