Un faux crypto-ransomware Linux cible des serveurs

Le par  |  6 commentaire(s)
Bitcoin

Le crypto-ransomware FairWare pour Linux est une arnaque même si les attaques sont réelles pour des serveurs Redis non à jour.

Ces derniers jours, un crypto-ransomware baptisé FairWare et attaquant des serveurs Web sous Linux a fait parler de lui. Il y avait cependant quelques doutes à son sujet. Les victimes de l'attaque ont rapporté la suppression de dossiers et l'ajout d'un lien pointant vers une note sur Pastebin. De quoi y lire la promesse de récupérer les fichiers supprimés en échange du paiement de deux bitcoins.

redisDe crypto-ransomware il n'y a point selon une analyse de Duo Labs corroborée par BleepingComputer qui avait sonné l'alerte au sujet de FairWare. Les attaquants sont parvenus à pirater des serveurs Linux en exploitant un problème dû à la présence du serveur de dictionnaire distant Redis pour le stockage de données (NoSQL).

Selon Duo Labs, il existe plus de 18 000 instances Redis exposées sur Internet, sans mot de passe pour une authentification. Une évaluation qui a pu être faite avec le moteur de recherche Shodan. Pour une grande majorité d'entre elles (près de 72 %), la version de Redis n'est pas à jour et ne bénéficie pas d'une nouvelle protection contre le vecteur d'attaque employé avec FairWare.

Ces instances peuvent être configurées à distance et les attaquants ont ainsi pu compromettre des appareils. Une preuve du passage sur chaque serveur compromis est une clé SSH dénommée " crackit " qui contient une même clé publique utilisée par les attaquants.

Payer une rançon ne sert à rien. Les fichiers ont été effacés. En début de mois, Doctor Web avait signalé un cheval de Troie pour Linux ciblant des serveurs Redis mal configurés et mal sécurisés.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1920454
"Payer une rançon ne sert à rien. Les fichiers ont été effacés."

Moi qui pensait que par "Faux ransomware" on entendait que c'était bénin
Le #1920459
Outpox a écrit :

"Payer une rançon ne sert à rien. Les fichiers ont été effacés."

Moi qui pensait que par "Faux ransomware" on entendait que c'était bénin


Faux ransomware mais vraie saloperie
Le #1920462
Je comprends pas pourquoi ils effacent les fichiers

L'information va circuler et personne ne paiera
Le #1920466
skynet a écrit :

Je comprends pas pourquoi ils effacent les fichiers

L'information va circuler et personne ne paiera


Je me disais la même chose ...
Le #1920542
FRANCKYIV a écrit :

skynet a écrit :

Je comprends pas pourquoi ils effacent les fichiers

L'information va circuler et personne ne paiera


Je me disais la même chose ...


Ils cherche peux être a se faire passé pour se qu'ils ne sont pas.

Récupéré les données pour les revendre a d'autres, les effacé coté serveur et faire croire que c juste des branques.
Le #1920599
"Selon Duo Labs, il existe plus de 18 000 instances Redis exposées sur Internet, sans mot de passe pour une authentification." grmblll grrr GRRR!

Plus sérieusement, même avec mot de passe… ça ne devrait pas être exposé sur Internet. Et si une solution type vRack/RPN/réseau local n'est pas possible, VPN chiffré pour l'interco des instances Redis d'un cluster. La diminution de perfs devrait être assez minimes et la sécurité des données vaut bien ce petit sacrifice. Ça vaut aussi pour:

* ElasticSearch
* Couchbase
* Riak
* MySQL/MariaDB
* postgre
* MongoDB
* Whatever qui ne devrait normalement pas papoter en dehors d'une infra. Le seul truc que tu veux vraiment exposer sur Internet c'est ton reverse proxy/load balancer/serveur Web mais surtout pas tes bases de données>.<

Idem pour les interfaces de management Web de ces logiciels: il vaut mieux y accéder par port forwarding SSH ou VPN que de les laisser accessibles de l'extérieur.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]