PGS

PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004

Support

Support, en France, en français, pour vos projets en avant-vente (PoC) ou en après-vente, dans le cadre de la maintenance applicative (AMS)

Logo PG Software
jeudi, 17 août 2017 18:28

Combattre les ransomwares XData et SambaCry sur Windows et Linux

Évaluer cet élément
(0 Votes)

sambacry

Quelques semaines après que WannaCry ait été sur le devant de la scène, l’ensemble des réseaux à travers le monde sont encore bombardés par des cyberattaques comme Adlykuzz et EternalRocks. Mais ce n’est pas tout. En effet, d’autres menaces comme XData et SambaCry multiplient le nombre de menaces. Depuis WannaCry, près de la moitié de toutes les violations de données ont affecté le secteur des entreprises, causant un vrai casse tête pour les entreprises.

XData, qui a été découvert pour la première fois par le chercheur S!Ri, est étrangement similaire à WannaCry. XData cible même EternalBlue, la même vulnarabilité utilisée par WannaCry. Comme tout ransomware, XData chiffre les fichiers de la victime et demande une rançon pour les déchiffrer. Après que les fichiers ait été chiffrés, xData renomme les fichiers avec le suffixe XData (par exemple : « Demo.jpg-xdata- »). XData crée également un nouveau fichier dans chaque dossier appelé "How_can_I_decrypt_my_files.txt", présenté ci-après.

Xdata

XData utilise la cryptographie asymétrique, ce qui nécessite à la fois les clés publiques et privées pour déchiffrer les fichiers. Les victimes doivent payer une rançon, qui s’élève habituellement à $500 voire $1000, pour recevoir cette clé privée de la part des développeurs de XData. Cependant, dans la plupart des cas, le paiement de la rançon n'a pas permis aux victimes de retrouver leurs fichiers. Les chercheurs en cybersécurité ont déclaré que 90% des attaques liées à XData ont ciblé l’Ukraine, mais cela ne signifie pas que les autres pays sont en sécurité. XData a également beaucoup d'autres variantes comme Stampado, ONYONLOCK, Cryptoviki, et Spora

Même si ces attaques par ransomware ont principalement visé les utilisateurs de Windows, les utilisateurs de Linux ne sont pas à l’abri. De nombreux utilisateurs de Linux utilisent Samba, une suite logicielle open source pour transférer des fichiers sur des clients SMB/CIFS. De la même façon que WannaCry a exploité la vulnérabilité SMB de Windows, ce nouveau logiciel malveillant (surnommé SambaCry) exploite une vulnérabilité vieille de 7 ans présente sur Samba. Cette vulnérabilité - indexée CVE-2017-7494 - affecte la façon dont les machines Unix communiquent avec les systèmes Microsoft.

SambaCry utilise trois vulnérabilités pour infecter les systèmes Linux :
1. smbd s’éxécutant sur le port TCP 443
2. “nt pipe support” activé dans le fichier smb.conf
3. Un partage en écriture accessible par un attaquant

Pour lancer une attaque, le pirate télécharge un objet partagé sur le partage en écriture et exécute une petite commande pour que le smbd exécute cet objet partagé. Cela permet au pirate d'obtenir les privilèges root et d’accéder ainsi à l'ensemble du système. Dans un mouvement stratégique, les pirates informatiques ont lancé SambaCry lors de grandes vacances aux États-Unis, rendant l'attaque plus difficile à résoudre. Samba a déjà publié un patch pour corriger le problème. Les utilisateurs peuvent également se protéger de SambaCry en désactivant le paramétrage “nt pipe support” ou en bloquant le port TCP 445 pour les sources inconnues.
SambaCry n’est qu’un début pour les utilisateurs de Linux. Désormais, les utilisateurs de Linux doivent faire face à une autre menace : LuaBot. Ce cheval de Troie à composants multiples détecte les honeypots, ce qui le rend plus intelligent que les menaces précédentes. LuaBot est un cheval de Troie interconnecté qui utilise un pool d'adresses IP afin de lancer une attque par force brute, ciblant les protocoles Telnet et SSH. Une analyse technique détaillée expliquant la façon dont fonctionne cette attaque est disponible sur Dr.Web.

Les patchs sont souvent la première ligne de défense contre les cyberattaques. Cependant, les administrateurs système n'ont généralement pas le temps de renforcer leurs défenses. Certaines entreprises ont même temporairement coupé leur réseau en raison de la quantité de problèmes qui s'accumule. Donc, si vous avez un moment pour reprendre votre souffle entre deux apnées, assurez-vous que tous vos correctifs sont à jour. La tranquillité totale n’est pas réaliste dans le secteur de la cybersécurité, mais si nous travaillons ensemble, nous pouvons éliminer les menaces avant qu'elles ne se répandent comme des feux de forêt.

Lu 4384 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.