Après les ransomwares pour les machines clientes, voici ceux destinés aux serveurs. Une variante de CTB-Locker s’attaque à ces derniers et exige des administrateurs une rançon pour leur rendre le contrôle. Et les auteurs font tout pour prouver que le paiement débloquera la situation.
Les ransomwares sont un type de malware très particulier. Une fois installé sur une machine, il en chiffre le contenu pour priver l’utilisateur de ses données. Il lui est demandé de payer une rançon sous peine de ne jamais revoir ses documents et contenus personnels. Les auteurs de ransomwares tachent généralement de donner la clé de déchiffrement une fois le paiement effectué, mais ce n’est jamais une garantie.
CTB-Locker s'attaque maintenant aux serveurs web
Jusqu’à présent, ces malwares s’attaquaient essentiellement à des machines clientes. Ils s’installent comme d’autres bestioles numériques à travers diverses techniques, dont le phishing et l’exploitation de failles de sécurité via des pages web spécialement conçues. L’internaute peu méfiant est alors piégé. Si les serveurs avaient été relativement épargnés jusque-là, une variante de CTB-Locker tente actuellement de rétablir la parité.
« CTB-Locker for Websites » s’attaque aux serveurs web, selon la société de sécurité Bleeping Computer, qui avait déjà analysé la version 4.0 de Cryptowall, un autre ransomware. Pour mener à bien sa sinistre besogne, il chiffre les données sur le serveur (AES-256) et remplace la page index.html ou index.php par une autre page, expliquant aux administrateurs ce qui vient de se passer. CTB-Locker promet de rendre les informations si une rançon de 0,4 bitcoin est envoyée vers une adresse particulière.
Les pirates veulent prouver qu'ils sont de bonne foi
Cette version du ransomware pour les serveurs web joue à fond la carte de la psychologie : tout est fait pour amener la ou les victimes à coopérer et à payer. À commencer par la somme demandée : 0,4 bitcoin représente moins de 200 dollars. Une somme faible qui a nettement plus de chances d’être payée que dans ce cas de certaines contaminations qui demandent 10 000 ou 20 000 dollars/euros.
La petite somme est accompagnée de deux outils qui doivent encore persuader les victimes qu’elles peuvent avoir confiance dans le retour de leurs données si elles montrent patte blanche. D’une part, une fenêtre spécifique permet d’engager le dialogue avec les pirates pour leur poser des questions. Et non seulement les pirates répondent, mais les administrateurs touchés peuvent communiquer en anglais, français, italien et autres.
Transparence et clé de test
D’autre part, CTB-Locker fournit deux clés. La première peut être utilisée pour déchiffrer deux fichiers pris au hasard, les administrateurs en récupérant le contrôle. Pourquoi une telle action ? Pour prouver aux victimes, une fois de plus, que les pirates tiendront parole et qu’ils peuvent bien redonner accès aux contenus. La deuxième clé servira pour déchiffrer le reste des fichiers, une fois le paiement effectué.
Comme si ces marques de « bonne volonté » ne suffisaient pas, le ransomware crée un certain nombre de fichiers texte une fois le chiffrement terminé. L’un contient par exemple le listing complet de tous les fichiers concernés. Un autre donne par avance les noms de ceux sélectionnés au hasard pour servir de preuves avec la clé précédemment citée. Un autre encore indique les extensions de fichiers visées par le ransomware.
Une centaine de serveurs infectés
Selon Bleeping Computer, CTB-Locker for Websites a déjà contaminé plus d’une centaine de serveurs web. La société invite les administrateurs à redoubler de vigilance sur les outils installés et sur la surveillance des failles de sécurité à colmater. Cette version a beau être une variante d’un ancien malware datant de 2014, il n’en reste pas moins dangereux.
Ce ransomware illustre quoi qu’il en soit la tendance suivie par ce type de logiciel malveillant. L’aspect psychologique se développe progressivement au point que l’on pourrait presque parler de syndrome de Stockholm : les pirates se présentent comme des personnes de confiance. Prouver qu’ils sont capables de déverrouiller les fichiers comme annoncé devient une composante primordiale. On retrouve d’ailleurs en filigrane l’avis du FBI sur la question : les pirates souhaitant s’enrichir ont tout intérêt à tenir parole pour que les victimes gardent confiance.
Bleeping Computer cite également de la variante Windows du ransomware classique. La dernière révision dispose en effet d’un certificat électronique dérobé. Même si la signature peut être révoquée, le malware gagne en dangerosité puisqu’il ne déclenche pas d’alerte « orange » avec le contrôle des comptes sous Windows.
Commentaires (51)
#1
Très noble de leur part, et ce n’est pas de l’ironie.
#2
wai enfin, ça reste des truands hein.
#3
Pour mener à bien sa sinistre besogne, il chiffre les données sur le serveur (AES-256) et remplace la page index.html ou index.php par une autre page, expliquant aux administrateurs ce qui vient de passer. CTB-Locker promet de rendre les informations si une rançon de 0,4 bitcoin est envoyée vers une adresse particulière.
Quelle faille utilisent-ils ?Parce que les crypto-machin généralement, c’était des PJ vérolées; donc pour un serveur web, on connait leur façon d’agir ?
#4
Dommage qu’ils aient oublié le bouton “Faire un don” ils ramasseraient encore plus d’argent
" />
Plus sérieusement c’est simplement l’expression d’une très bonne approche psychologique et humaine, surtout couplée à la faible rançon. Doit y avoir un cerveau assez fin derrière tout ça.
#5
“Ransomwares : CTB-Locker ”
C’est un appel aux trolls? ^^
exemple:
#6
Oui, à se demander si le véritable but ne serait pas d’apprendre de façon, certes brutale, qu’un serveur se protège correctement. Le très faible montant de la rançon demandée me le fait penser du moins. Comme une leçon de sécurité informatique (moins chère même).
Maintenant, qui est derrière tout ça … Je doute qu’on le sache de sitôt.
#7
Je voudrai juste comprendre une chose… Comment ça peut bien fonctionner ce truc ? Il y a pas un admin sur cette planète qui met en place des sauvegardes de son site web ?
#8
J’ai passé mon week end à restaurer les données suite à une infection en mode client, je plains les victimes de cette nouvelle version.
Mais effectivement, plutôt “expressif” comme vers.
#9
#10
Une sauvegarde, même planifiée par tranches de 12h, peut faire perdre pas mal d’argent (e-commerce) à des sociétés. Par défaut, les entreprises victimes préfèreront payer que de perdre 12h de CA.
#11
D’une part, une fenêtre spécifique permet d’engager le dialogue avec les
pirates pour leur poser des questions. Et non seulement les pirates
répondent, mais les administrateurs touchés peuvent communiquer en
anglais, français, italien et autres.
Un meilleur SAV que la plupart des sites e-commerce français
#12
Explique-toi puisque tu me cites.
#13
La petite somme est accompagnée de deux outils qui doivent encore persuader les victimes qu’elles peuvent avoir confiance dans le retour de leurs données si elles montrent patte blanche. D’une part, une fenêtre spécifique permet d’engager le dialogue avec les pirates pour leur poser des questions. Et non seulement les pirates répondent, mais les administrateurs touchés peuvent communiquer en anglais, français, italien et autres.
Meilleur que la plus part des services clients
#14
L’aspect psychologique se développe progressivement au point que l’on
pourrait presque parler de syndrome de Stockholm : les pirates se
présentent comme des personnes de confiance. Prouver qu’ils sont
capables de déverrouiller les fichiers comme annoncé devient une
composante primordiale. On retrouve d’ailleurs en filigrane l’avis du FBI sur la question : les pirates souhaitant s’enrichir ont tout intérêt à tenir parole pour que les victimes gardent confiance.
poke Apple
#15
ou un bouton “Share” / “send to a friend”, ou tu ramasserais 25% de la somme par payement effectue…..
" />
#16
Manquerait plus que le CTB infecte le CMB, et la boucle serait bouclée.
" />
#17
#18
Ola,
La source originale: http://thisissecurity.net/2016/02/26/a-lockpicking-exercise/
Pour une fois que des Français trouvent quelque chose c’est dommage de pas les citer :)
#19
Moi, la question que je me pose c’est de savoir si ce genre de logiciel pourrait tout de même être mis en place si bitcoin n’existait pas..
Dit sur le site bitcoin.org
Bitcoin est souvent perçu comme un réseau de paiement anonyme. Mais en réalité, Bitcoin est probablement le réseau de paiement le plus transparent au monde.
Ce que je trouve vraiment bizarre avec cette histoire de bitcoin, C’est que si c’est si transparent que ça, pourquoi le bitcoin est si souvent utilisé pour le marché gris/noir?
#20
Car bitcoin ne nécessite pas de banque, tout ce fait entre les 2 personnes de la transaction sans intermédiaire. Et puis il est difficile de suivre l’argent
#21
#22
Non, ils sont transparent sur les algo mis en place, tu peux voir que personne ne peux voler personne. C’est dans ce sens la que c’est transparent (pas de magouille possible)
#23
#24
Bonjour bonjour…
Après des années sans avoir rien commenté, j’avoue que cela me démangeait.
Pour ce genre d’individus, seule la tolérance zéro peut s’appliquer.
Ce genre de sous-merde passe son temps à pourrir la vie des autres.
S’il y en a dans le coin, je les emm, cela ne changera pas mon point de vue.
Exemple : L’hôpital américain contraint de payer… Sérieusement quoi… les mecs tentent de sauver des vies et une bande de connards sans noms viennent les faire chier ?
On marche sur la tête !
Puisque cette bande de petits rigolos veut nuire à nos activités, que l’on soit sans pitié le jour où nous en chopons un.
Pour l’exemple de l’hôpital, j’assimile cela à une tentative d’homicide.
Entendons nous bien, je fais clairement la différence entre les black-hats et les white-hats (comprendre : la différence entre les crackers et les experts). Si les seconds travaillent pour améliorer la sécurité, les premiers représentent la chienlit de l’humanité.
Nous passons beaucoup de temps pour taper sur la police, les forces de l’ordre, etc… mais le vrai problème n’est pas dans cet état policier mais dans les crétins dénués de morale qui nous y poussent.
Voilà, c’était mon coup de gueule du jour… je retourne prendre mes cachets de “vieux con”…
#25
C’est traçable à partir du moment où tu arrives à associer une personne à une des adresses bitcoins suspectées.
Exemple avec cette adresse:
https://www.blocktrail.com/BTC/address/1Mpce11eUTuP9mxyDixdFbJzPrdNEJkgB4/transa…
Toutes les transactions avec leurs adresses sont répertoriées publiquement.
Ceci dit, Bitcoin risque de devenir complètement anonyme avec des évolutions futurs. Il faut dire qu’il se prive de pas mal de marchés sans cela.
#26
#27
Ok, donc il n’y a en réalité aucune transparence sur les utilisateurs.
On peut suivre leurs activités mais seulement de manière anonyme, c’est seulement si l’on peut relier une activité à un utilisateur (suite à un achat et/ou transmission des coordonnées) que l’anonymat tombe.
Donc quand on lit : “Bitcoin n’est pas anonyme” c’est exactement pareil que si je paie en liquide (et que je suis cagoulé) et qu’au moment de payer je donne mon nom et mon adresse de livraison..
Donc bitcoin est anonyme par nature (tout comme du liquide), c’est le client/vendeur qui donne volontairement/involontairement son identité en dehors du protocole de paiement.
Autrement dit c’est fallacieux, ils devraient dire : “Bitcoin peut-être anonyme. Tant que l’acheteur et le vendeur ne révèlent pas leur identité”.
Autant j’aimais bien le principe du bitcoin, autant plus je me penche sur le discours plus il me parait biaisé/fallacieux.
Et quand on a besoin d’un discours biaisé pour se présenter ça pu la merde…
https://bitcoin.org/fr/proteger-votre-vie-privee
Bitcoin est souvent perçu comme un réseau de paiement anonyme. Mais en réalité, Bitcoin est probablement le réseau de paiement le plus transparent au monde
#28
Bah, pour certains médecins, je te dirais pourquoi pas… mais les infirmiers, là… j’en doute BEAUCOUP.
Mais dans le pire du pire des cas… on s’en tape royalement que la société soit un hosto ou un labo, le fait est qu’une bande de crétins vient foutre en l’air de boulot de pas mal de monde.
#29
Oui pas mieux.
Je trouve que c’est assez bien résumé.
Le fait est que les seules à utiliser le BC de manière anonyme (et donc s’être penché sur la question) sont les organisations mafieuses et terroristes…
#30
Alors attention, avec la legislation existante, tant que tu reste en bitcoin, tout reste transparent aux yeux de la loi. Par contre c’est au moment de la conversion en monnaie réelle ou la faut montrer patte blanche (identité tout ca)
#31
Transparent aux yeux de la loi? Que ce soit “légale au yeux de la loi” pourquoi pas, mais “transparent”, je voit pas ce que tu veux dire.
#32
Les Bitcoin sont vraiment la super monnaie des truands, mafieux en tout genre, avec tous les avantages de la monnaie électronique et en plus l’anonymat. Autant dire l’arme absolue.
#33
#34
#35
Y a t’il un moyen autre que le paiement pour décrypter les fichiers ?
#36
#37
Oui la faille était que la clé était basée sur la date courante. Hors le ransomware écrivait un fichier au même moment que la création de la clé… Donc retrouver la clé était enfantin
#38
#39
#40
$ chattr +i /var/www/couillon.com/web/
" />
Un admin sys digne de ce nom, ou une société digne de ce nom, doit mettre en place les mesures empêchant la modif des fichier sur le serveur par un user non autorisée, ou usurpé.
Après en cas de galère : backup et/ou ip fail over vers un autre serveur et/ou modif des dns du domaine vers un autre serveur etc. etc.
Quand les entreprise comprendront qu’il faut mettre les moyens et le professionnalisme dans la création et l’administration de son/ses serveur(s) dédiés. Enfin bon bref…
#41
#42
Encore un débat qui dérive sur le Bitcoin (aucun intérêt)… c’est comme regarder un film policier américain et croire que celà résume l’histoire des rapports humains dans le monde entier…
#43
C’est comme une amende pour défaut de sécurisation.
#44
Des brigands des temps modernes mais qui respectent leur travail.
" />
Perso j’aime bien. Ils ont choisi la voie du “mal” mais sans faire de dégâts et en étant poli.
Je pense que pour la peine je leur donnerai même un pourboire
#45
CTB = HADOPI !
" />
#46
#47
Et oui… il faut mettre les moyens de se prévenir de l’action de petits connards…
(désolé pour le terme, mais je trouve que d’une manière générale, les apprentis geek ont tendance à retourner la faute sur la victime de l’escroquerie… c’est un comportement que l’on peut rapprocher aux baltringues qui reprochent aux filles qui portent des jupes de se faire violer. Le vrai problème est au niveau de celui qui commet le crime, pas au niveau de celui qui le subit. Dans vos délires, vous allez dans le sens du gouvernement / HADOPI et de sa maintenant fameuse négligence caractérisée pour défaut de sécurisation…)
#48
#49
#50
#51
Bonjour,
Quel OS sont concernés sur ce ransomware ? ( Debian, , Red Hat … ? )
Merci d’avance.