Le 10 juin, la société d’hébergement Internet Sud-Coréene NAYANA a subi une attaque ciblée d’un groupe de cybercriminels.
Ce ne sont pas moins de 153 serveurs qui ont vu leurs données chiffrées par un ransomware Linux baptisé Erebus (RANSOM_ELFEREBUS.A), cela représente environs 3 400 sites Internet professionnel mis hors ligne suite à cette attaque.
Mais comment une telle chose a-t-elle été rendue possible ?
L’attaquant a dans un 1er temps pris la main sur un serveur en utilisant une faille de sécurité (probablement liée a un CMS qui n’était pas à jour), il a ensuite exploité une faille d’élévation de privilèges du kernel, ce qui lui a permis d’injecter le ransomware.
En effet les serveurs mutualisés de l’hébergeur utilisaient des systèmes d’exploitation obsolètes (version de Kernel Linux datant de 2008 V2.6.24.2) et les services comme Apache et PHP fonctionnaient sur des versions datant pour certains de 2006.
Les vulnérabilités de ces versions sont connues depuis des années et il parait incroyable que l’infrastructure en production n’aie pas été maintenue à jour.
Les pirates ont exigé ensuite une rançon de 550 BTC en contre-partie des clefs de déchiffrement (soit plus d’un million de dollars au cours actuel du Bitcoin). Nayana n’ayant a priori pas de sauvegarde propre est entré en négociation, le montant à été abaissé à 397,6 BTC et un paiement en 3 fois a été accordé ! Pour chaque versement, ils ont reçu les codes de déchiffrement d’un tiers de leurs serveurs.
Nayana joue la carte de la transparence et tient ses clients informés de la situation via des communiqués qu’ils publient sur leur site Internet.
Dans celui du 20 juin, Ils précisent que certains serveurs prendront plus de 10 jours à être déchiffrés. L’hébergeur espère également un rétablissement de ses services à 90 % d’ici la fin de la semaine.
Cet exemple nous montre à quel point il est important de maintenir un système à jour et d’effectuer des sauvegardes régulière sur des plateformes distante.
Les attaques ciblées avec utilisation de ransomware sont en augmentation et avec des gains potentiels en million de dollars il est certain que les pirates ne vont pas s’arrêter de sitôt.
source : Icodia / TrendMicro