Il y a quelques jours, l'hébergeur sud-coréen Nayana a fait les frais d'une attaque par ransomware. Le malware a ainsi infecté quelque 153 serveurs de l'hébergeur qui voyait une grande partie de son activité au point mort.
C'est un ransomware de type Erebus qui a frappé l'hébergeur et qui a donc ainsi mis hors ligne les sites de 3400 clients. Les cybercriminels à l'oeuvre avaient bien conscience de leur cible, et demandaient alors le versement de 550 bitcoins pour la récupération d'une clé de déverrouillage, soit l'équivalent de 1,6 million de dollars.
Nayana ne semblait pas en mesure de rétablir des sauvegardes, et a donc rapidement entrepris de négocier avec les preneurs d'otage, les discussions ayant permis d'arriver à un accord sur le versement de 397,6 bitcoins, soit 1,01 million de dollars au cours du 14 juin. Le paiement a également été négocié en trois fois, chaque paiement permettant de récupérer des codes de déchiffrement d'un tiers des machines infectées. Déjà deux versements ont été réglés, mais le déchiffrement prend bien plus de temps que prévu et l'activité de l'hébergeur continue d'être lourdement handicapée, avec des clients qui n'ont de cesse de crier leur mécontentement. Pire encore, même après déchiffrement, certaines bases de données apparaissent erronées.
L'hébergeur n'a pas indiqué comment le malware avait pu se propager, mais Trend Micro attire l'attention sur le fait que le site web de l'hébergeur lui-même a recours à une version de Linux datée de 2008 et d'Apache/PHP de 2006...
