Ces derniers jours, un crypto-ransomware baptisé FairWare et attaquant des serveurs Web sous Linux a fait parler de lui. Il y avait cependant quelques doutes à son sujet. Les victimes de l'attaque ont rapporté la suppression de dossiers et l'ajout d'un lien pointant vers une note sur Pastebin. De quoi y lire la promesse de récupérer les fichiers supprimés en échange du paiement de deux bitcoins.
De crypto-ransomware il n'y a point selon une analyse de Duo Labs corroborée par BleepingComputer qui avait sonné l'alerte au sujet de FairWare. Les attaquants sont parvenus à pirater des serveurs Linux en exploitant un problème dû à la présence du serveur de dictionnaire distant Redis pour le stockage de données (NoSQL).
Selon Duo Labs, il existe plus de 18 000 instances Redis exposées sur Internet, sans mot de passe pour une authentification. Une évaluation qui a pu être faite avec le moteur de recherche Shodan. Pour une grande majorité d'entre elles (près de 72 %), la version de Redis n'est pas à jour et ne bénéficie pas d'une nouvelle protection contre le vecteur d'attaque employé avec FairWare.
Ces instances peuvent être configurées à distance et les attaquants ont ainsi pu compromettre des appareils. Une preuve du passage sur chaque serveur compromis est une clé SSH dénommée " crackit " qui contient une même clé publique utilisée par les attaquants.
Payer une rançon ne sert à rien. Les fichiers ont été effacés. En début de mois, Doctor Web avait signalé un cheval de Troie pour Linux ciblant des serveurs Redis mal configurés et mal sécurisés.
