Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

« Hackers éthiques » : une victoire clé remportée contre une campagne de rançongiciel,
Visant des serveurs de stockage de fichiers Linux

Le , par Bruno

43PARTAGES

15  0 
Il est rare de voir un rançongiciel être utilisé pour cibler les systèmes d'exploitation Linux. Cependant, les cybercriminels semblent s’adapter à cet environnement émergent en faisant preuve de créativité. Les chercheurs de la société de sécurité Intezer ont utilisé la technique DoS contre le rançongiciel QNAPCrypt, un logiciel malveillant qui, comme son nom l’indique, infecte les périphériques de stockage réseau fabriqués par QNAP Systems, basé à Taiwan, et probablement bien d’autres systèmes. Le piratage se propage en exploitant des connexions sécurisées (ou SSH) utilisant des mots de passe faibles. L’analyse des chercheurs a révélé que chaque victime recevait un portefeuille unique en bitcoins pour l’envoi de rançons, une mesure destinée probablement à empêcher la traçabilité des agresseurs.

Fonctionnement du rançongiciel

Le rançongiciel QNAPCrypt fonctionne de la même manière que les autres rançongiciels, y compris le chiffrement de tous les fichiers et l'envoi d'une note de rançon. Cependant, il existe des différences importantes :

  1. La note de rançon est uniquement incluse dans un fichier texte, sans aucun message à l'écran ;
  2. Chaque victime reçoit un porte-monnaie Bitcoin unique et différent ;
  3. Une fois la victime compromise, le logiciel malveillant demande au serveur de commande et de contrôle (C & C) une adresse de portefeuille et une clé RSA publique avant le chiffrement du fichier.


Comment a-t-il été intercepté ?

Pour approfondir la recherche sur les logiciels malveillants et leur fonctionnement, les chercheurs d’Intezer ont écrit un script simulant les infections à grande échelle afin de déterminer le fonctionnement et le mécanisme de génération du portefeuille. Après avoir simulé les infections de centaines « victimes » virtuelles, ils ont rapidement remarqué deux faiblesses majeures dans ce processus :

  • la liste des portefeuilles de Bitcoin a été créée à l’avance et était statique, ce qui signifie qu’il existait un nombre fini de portefeuilles disponibles ;
  • l'infrastructure des attaquants n'a effectué aucune authentification sur les périphériques connectés et prétendant être infectés.



Ces vulnérabilités ont permis aux chercheurs d'écrire un script pouvant émuler un nombre illimité d'infections simulées. Après avoir usurpé les infections de près de 1 100 appareils issus de 15 campagnes différentes, les « hackers éthiques » ou les hackers chapeaux blancs ont épuisé la réserve de portefeuilles en Bitcoins unique destinée à leurs victimes. En conséquence, toute infection future était vouée à l’échec et les auteurs de ce logiciel malveillant ont été contraints de mettre à jour leurs implants afin de contourner cette faille de conception de leur infrastructure et de poursuivre ainsi leurs opérations malveillantes.

« Les attaquants ressemblent finalement à tous les autres développeurs, et ils ont parfois des défauts de conception, exactement comme dans ce cas », a écrit Ari Eitan, vice-président de la recherche d'Intezer, dans un courrier électronique. « Nous en avons profité en tant que défenseurs. Autant que nous sachions, personne n'a pratiqué ce type d'opération DoS dans le passé ».

Contre-attaque des cybercriminels

Les développeurs de rançongiciels ont contre-attaqués en mettant à jour leur code pour inclure les portefeuilles et la clé RSA dans le fichier exécutable qui est envoyé aux machines ciblées. Cette charge utile « sans connexion », comme l'appel les chercheurs d'Intezer, permet aux attaquants de vaincre le DoS. Alors que les opérations de QNAPCrypt résistent, les « hackers éthiques » ont tout de même remporté une autre victoire clé.

L'implant mis à jour partage un code presque identique à Linux Rex, une souche de rançongiciel découverte pour la première fois en 2016 et infectant les serveurs Drupal lors d'opérations de rançongiciel et de DDoS. Cela donne à Intezer et aux autres défenseurs de nouvelles idées et informations pour vaincre une souche de rançongiciel qui, jusqu’à présent, est restée pratiquement non détectée.

Les chercheurs déclarent que les taux de détection de QNAPCrypt sont faibles et le logiciel malveillant pourrait entraîner des pertes monétaires considérables et des dommages économiques par rapport à d’autres types de menaces Linux. « Nous avons créé une signature YARA personnalisée pour détecter les futures variantes de QNAPCrypt » indiquent ces chercheurs.

Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
rule QnapCrypt
{ 

    meta:
       author = "Intezer"
       date = "10-06-2019"

    strings: 
       $a = "Do NOT remove this file and NOT remove last line in this file!" nocase 
       $b0 = "main.writemessage" 
       $b1 = "inf.1st.3ds.3fr.4db.4dd.602.a4p.a5w.abf.abw.act.adr.aep.aes.aex.aim.alx.ans.apk.apt.arj.aro.arw.asa.asc.ase.asp.asr.att.aty.avi.awm.awp.awt.aww.axd.bar.bat.bay.bc6.bc7.big.bik.bin.bit.bkf.bkp.bml.bok.bpw.bsa.bwp.bz2.c++.cab.cas.cat.cdf.cdr.cer.cfg.cfm.cfr.cha.chm.cms.con.cpg.cpp.cr2.crl.crp.crt.crw.csp.csr.css.csv.cxx.dap.das.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm.ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx.ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl.lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw.nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef.pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf.qfx.qic.qif.qrm.r3d.raf.rar.raw.re4.rim.rjs.rsn.rss.rtf.rw2.rw3.rwl.rwp.saj.sav.sdb.sdc.sdf.sht.sid.sie.sis.sko.slm.snx.spc.sql.sr2.src.srf.srw.ssp.stc.stl.stm.stp.sum.svc.svg.svr.swz.sxc.t12.t13.tar.tax.tbl.tbz.tcl.tgz.tib.tor.tpl.txt.ucf.upk.url.vbd.vbo.vcf.vdf.vdi.vdw.vlp.vmx.vpk.vrt.vtf.w3x.wav.wb2.wbs.wdb.web.wgp.wgt.wma.wml.wmo.wmv.woa.wpd.wpp.wps.wpx.wrf.x3f.x_t.xbl.xbm.xht.xla.xlk.xll.xlm.xls.xlt.xlw.xml.xpd.xpm.xps.xss.xul.xwd.xws.xxx.zfo.zip.zul.zvz"
       $b2 = "main.makesecret" 
       $b3 = "main.chDir" 
       $b4 = "main.writemessage" 
       $b5 = "main.randSeq" 
       $b6 = "main.encrypt"

    condition:  

      $a or any of ($b*)
}
Source : Intezer, GitHub

Et vous ?

Qu'en pensez-vous ?

Voir aussis :

Quelles sont les cybermenaces qu'il faut le plus surveiller en 2018 ? Le MIT Technology Review nous donne ses prédictions

Pour Ursula von der Leyen, les cyberattaques représentent la plus grande menace pour la stabilité des pays, menace avérée ou analyse exagérée ?

Une erreur dans cette actualité ? Signalez-le nous !