Ransomware : CTB-Locker s'attaque aux sites Web

Le par  |  9 commentaire(s)
Ransomware-FBI

Les sites Web vont-ils devenir les prochaines cibles de choix des ransomwares ? CTB-Locker exige une rançon pour restaurer des sites WordPress.

CTB-Locker est un ransomware bien connu et y compris en France. Il y a un an, le CERT-FR (centre gouvernemental de veille, d'alerte et de réponses aux attaques informatique) avait émis une alerte à propos d'une campagne de phishing de type rançongiciel impliquant ce nuisible. Depuis, CTB-Locker semble devoir se réinventer.

Ce ransomware était déjà assez singulier. Outre le fait d'accepter seulement le paiement d'une rançon en bitcoins (une crypto-monnaie décentralisée), il s'appuie sur le réseau Tor pour y dissimuler ses serveurs de commande et contrôle. Une manière de tenter d'échapper aux détections et tentatives de blocage. Une nouvelle variante cible désormais uniquement les serveurs Web.

D'après Kaspersky Lab, CTB-Locker est déjà parvenu à chiffrer avec succès les fichiers root de 70 serveurs dans 11 pays. Les victimes se situent majoritairement aux États-Unis et en Russie. Il leur est demandé le paiement d'une rançon en bitcoins d'environ 150 $ pour déchiffrer les fichiers pris en otage. Une rançon qui double si elle n'est pas envoyée à temps.

CTB-Locker
Ce n'est en fait pas la première fois qu'un ransomware s'attaque à des serveurs Web. Linux.Encoder avait ouvert la brèche en ciblant des serveurs Web sur Linux mais avait surtout brillé par des maladresses faisant qu'il a pu être cassé à plusieurs reprises.

Avec CTB-Locker, la menace pour les serveurs Web paraît être d'une tout autre ampleur. " Pour le moment, aucun outil de déchiffrement n'est disponible, la seule façon de se débarrasser rapidement de cette menace est de s'assurer de disposer d'une copie de sauvegarde des fichiers du serveur, le tout dans un endroit séparé ", écrit Kaspersky Lab.

A priori, cette saine pratique de sauvegarde devrait être la règle pour la plupart des sites suffisamment importants. Si la méthode de déploiement de CTB-Locker sur les serveurs Web est encore relativement mystérieuse, un point commun aux infections semble être le recours à la plateforme WordPress.

Cela sous-tend qu'il est impératif d'avoir une version de WordPress à jour. Cependant, il est connu que les plugins tiers pour WordPress sont souvent des vecteurs de vulnérabilité à des attaques pour le serveur.

Les cybercrimiels derrière la nouvelle variante de CTB-Locker sont assez vicieux. Ils offrent la possibilité à leurs victimes de déchiffrer gratuitement deux fichiers présélectionnés. Un moyen de prouver que la restauration est possible ; et ainsi d'inciter à payer.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1883445
"Ce n'est en fait pas la première fois qu'un ransomware s'attaque à des serveurs Web. Linux.Encoder avait ouvert la brèche en ciblant des serveurs Web sur Linux mais avait surtout brillé par des maladresses faisant qu'il a pu être cassé à plusieurs reprises."

Oh zut alors.....
Le #1883456
Morpheus005 a écrit :

"Ce n'est en fait pas la première fois qu'un ransomware s'attaque à des serveurs Web. Linux.Encoder avait ouvert la brèche en ciblant des serveurs Web sur Linux mais avait surtout brillé par des maladresses faisant qu'il a pu être cassé à plusieurs reprises."

Oh zut alors.....


Faudra qu'on essaye autre chose
Le #1883458
Ulysse2K a écrit :

Morpheus005 a écrit :

"Ce n'est en fait pas la première fois qu'un ransomware s'attaque à des serveurs Web. Linux.Encoder avait ouvert la brèche en ciblant des serveurs Web sur Linux mais avait surtout brillé par des maladresses faisant qu'il a pu être cassé à plusieurs reprises."

Oh zut alors.....


Faudra qu'on essaye autre chose


http://www.zdnet.fr/actualites/microsoft-annonce-un-nouveau-service-de-securite-pour-windows-10-39833498.htm



(just kidding)
Le #1883463
Morpheus005 a écrit :

Ulysse2K a écrit :

Morpheus005 a écrit :

"Ce n'est en fait pas la première fois qu'un ransomware s'attaque à des serveurs Web. Linux.Encoder avait ouvert la brèche en ciblant des serveurs Web sur Linux mais avait surtout brillé par des maladresses faisant qu'il a pu être cassé à plusieurs reprises."

Oh zut alors.....


Faudra qu'on essaye autre chose


http://www.zdnet.fr/actualites/microsoft-annonce-un-nouveau-service-de-securite-pour-windows-10-39833498.htm



(just kidding)



Le #1883559
Le problème est l'utilisation de plugins pourris pour WordPress (ça date pas d'hier et le site de Wordpress explique parfaitement que certains plugins disponibles sur le net ne sont pas fiables). De plus si un webmaster ne met pas à jour son Wordpress, il se met de facto en danger. Oui et alors ? Que lvotre site sous Wordpress soit hébergé dans un serveur Linux ou Windows n'y changera rien.
Ce problème vaut aussi pour tous les CMS d'ailleurs (en particulier Joomla où des milliers de plugins pourris circulent).
Quant à LinuxEncoder, bah c'est un flop total, donc je comprends pas l'intérêt de le mentionner.

PS Même s'il date un peu, ce site est déjà une bonne base http://wpformation.com/11-rappels-securite-wordpress/
Le #1883570
mouarf76 a écrit :

Le problème est l'utilisation de plugins pourris pour WordPress (ça date pas d'hier et le site de Wordpress explique parfaitement que certains plugins disponibles sur le net ne sont pas fiables). De plus si un webmaster ne met pas à jour son Wordpress, il se met de facto en danger. Oui et alors ? Que lvotre site sous Wordpress soit hébergé dans un serveur Linux ou Windows n'y changera rien.
Ce problème vaut aussi pour tous les CMS d'ailleurs (en particulier Joomla où des milliers de plugins pourris circulent).
Quant à LinuxEncoder, bah c'est un flop total, donc je comprends pas l'intérêt de le mentionner.

PS Même s'il date un peu, ce site est déjà une bonne base http://wpformation.com/11-rappels-securite-wordpress/


Je pensais betement qu'un serveur sous Linux était plus sécurisé. Comme quoi...

Linux Encoder n'est pas un flop. C'est une daube catastrophique.....

https://news.drweb.com/show/?i=9686&lng=en

http://www.zdnet.com/article/how-to-fix-linux-encoder-ransomware/

http://thehackernews.com/2016/01/linux-ransomware-decryption.html
Le #1883596
Le serveur n'est en aucun cas HS, ni vérolé. Ce n'est pas l'OS du serveur qui est en cause ! Le serveur n'est pas compromis (l'article est très peu clair il faut dire). C'est le CMS exécuté côté serveur qui ne garantit pas la sécurité des données qu'il est censé maintenir quand tu tu lui adjoins des plugins foireux. Ce qui est tout à fait évident. Ce n'est donc pas une histoire de serveur sous linux ou sous windows ou sous ce que tu veux.

D'autre part LinuxEncoder est un flop à tous les niveaux. Tout d'abord, il n'y a, à ce jour, aucun vecteur efficace de contamination. Il n'est l'exploitation d'aucune faille. Pour te faire rançonner, il faut toi même télécharger le script, puis lui donner des droits d'exécution, et enfin il faut que le script ait les droits de modification sur le dossier contenant les dites données. Je n'ai encore vu personne atteinte par ce "malware". Il semble plutôt que des sociétés d'anti virus alarment des utilisateurs gogos sur une fausse menace afin de glaner de nouveaux clients. Mais bon, c'est pas nouveau, c'est un marronnier de l'informatique.
Le #1883622
http://www.zdnet.com/article/linus-torvalds-vs-the-internet-security-pros/

"The Washington Post feature story, Net of Insecurity: The kernel of the argument, opens "Fast, flexible and free, Linux is taking over the online world. But there is growing unease about security weaknesses."
Le #1883624
Mais où veux-tu en venir ? Au lieu de disliker mes réponses tu veux pas expliquer en quoi elles ne seraient pas bonnes ?
Après tu balances encore un nouveau lien. Avec ce nouveau lien tu veux en venir où ? Tu peux faire des phrases pour te faire comprendre ? Là c'est plutôt obscur. Tu veux nous montrer que Linux saylemal ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]