En Corée du Sud, une entreprise s’est vue contrainte de payer plus d’un million de dollars de rançon. Ses serveurs, infectés par le ransomware Erebus, hébergeaient les données de nombreux clients. Un cas qui rappelle encore les dangers de ce type de malware, ainsi que l’importance des mises à jour.
Un ransomware est pour rappel un logiciel malveillant dont la finalité est d’obtenir une rançon. Pour y parvenir, la technique employée est toujours la même : chiffrer les données de la machine et menacer l’utilisateur de ne plus jamais y avoir accès s’il ne s’acquitte pas de la somme demandée. Celle-ci est presque toujours exigée en crypto-monnaie, le plus souvent en bitcoins.
Pour autant, la « qualité » et la dangerosité des ransomwares varient. Parfois, des failles dans leur code permettent de créer un logiciel capable de redonner accès aux données, comme on l’a vu avec WannaCrypt. Mais Erebus, qui a infecté la société coréenne Nayana, n’en a a priori aucune exploitable.
De très vieux composants, un nombre élevé de failles potentielles
Comme indiqué par Trend Micro, le ransomware Erebus n’est pas nouveau. On le trouvait déjà l’année dernière, exploitant diverses failles de sécurité selon l’époque, dont certaines dans le lecteur Flash.
Dans le cas présent, on ne sait pas réellement comment il s’est infiltré dans Nayana. Cependant, comme relevé par la société de sécurité, il est fort probable que là encore, des vulnérabilités aient été exploitées. Pourquoi ? Parce que la société coréenne, qui officie dans l’hébergement web, utilisaient des composants logiciels particulièrement anciens.
Les serveurs eux-mêmes utilisaient ainsi une vieille distribution Linux dont le kernel était en version 2.6.24.2, vieille de plusieurs années. Considérant la vitesse à laquelle sont découvertes les failles, il en existait nécessairement que les pirates pouvaient utiliser.
Les soucis détectés ne s’arrêtent pas là. Les versions utilisées d’Apache et PHP pour le site principal de Nayana étaient respectivement les 1.3.36 et 5.1.4, toutes deux datent de 2006. L’analyse est ici la même : plus de dix ans se sont écoulés depuis et les failles de sécurité à disposition des pirates étaient probablement nombreuses.
Un fonctionnement impitoyable
Une fois en place, Erebus n’avait qu’à remplir sa mission. Documents, archives, bases de données et autres fichiers multimédias étaient ainsi passés à la moulinette du malware, qui les renommait ensuite avec l’extension .ecrypt. En tout, 433 formats sont pris en charge.
Erebus fait partie de ce type de malware qui utilise plusieurs algorithmes différents et un découpage de fichier en plusieurs couches. Au-delà de son entête, on trouve ainsi le contenu du fichier chiffré en RC4 et divisé en blocs de 500 ko, tandis que le nom dudit fichier est lui chiffré en RSA-2048. Le résultat final, en .ecrypt, contient la clé RC4, différente pour chaque fichier. Cependant, elle est chiffrée une première fois en AES, puis une seconde en RSA-2048.
Il s’agit en fait de la clé privée. La clé publique en RSA-2048 est de son côté partagée. Selon Trend Micro, un tel fonctionnement rend impossible tout décryptage des données sans posséder la clé. Ce qui amène immanquablement la question de la rançon.
Une rançon très élevée, qui ne doit pas faire des émules
Conscients probablement que leur malware ne pouvait être contourné et que la victime manipulait les données de nombreux clients (153 serveurs infectés pour un total de plus de 3 400 sites commerciaux), les pirates ont réclamé une rançon salée.
Nayana, qui raconte elle-même ses mésaventures dans une série de notes sur son propre site, indique ainsi que la somme demandée initialement était de 550 bitcoins, soit l’équivalent d’environ 1,6 million de dollars. L’entreprise ajoute qu’elle a cherché à négocier cette rançon, ce que les pirates ont accepté. Résultat, la somme est descendue à 397,6 bitcoins, soit environ un million de dollars, réglables en trois fois.
Le 17 juin, soit il y a trois jours seulement, Nayana indiquait que le deuxième des trois paiements avait été fait. La logique des pirates est simple : chacun permet de retrouver l’accès à un tiers des installations. Le 18 juin, la société déclarait redémarrer ses serveurs par groupes, mais des problèmes se manifestaient dans le deuxième lot de machines libérées d’Erebus. Le dernier paiement ne doit être fait que lorsque les deux premiers tiers des machines seront opérationnels.
Un véritable cas d’école
L’exemple de Nayana synthétise à lui seul tout ce que l’on peut dire d’un ransomware et les problématiques qu’il pose, tant aux victimes qu’aux experts en sécurité.
Les ransomwares peuvent être utilisés de plusieurs manières. Le cas le plus courant est celui d’un logiciel malveillant infectant une machine unique et réclamant une rançon à un utilisateur « simple ». Une petite somme, mais répétée autant de fois que possible. Au contraire, un ransomware peut viser des machines moins fréquentes, mais à l’impact plus important.
Comme on l’a vu au début du mois, des milliers de bases de données sont contaminées ou potentiellement vulnérables à de tels malwares. Puisque les entreprises visées stockent potentiellement des données sensibles et/ou appartenant à des clients, en retrouver l’accès peut faire la différence entre une survie et un dépôt de bilan. Dès lors, comment suivre la recommandation officielle qui est, le plus souvent, de ne pas payer la rançon ?
La question revient perpétuellement, se posant à chaque nouvelle victime. Dans le cas de Nayana cependant, elle constitue une dure leçon sur la nécessité absolue de n’utiliser que des composants logiciels parfaitement à jour. Les vulnérabilités, comme on a pu le voir de nombreuses fois depuis les révélations Snowden, font l’objet d’un véritable trafic. Elles sont ainsi vendues comme cyberarmes dans des marchés noirs et gris, le FBI et l’armée américaine n’hésitant pas par exemple à en acheter, particulièrement celles de type 0-day.
Le brutal chemin vers la sécurité
Le simple fait d’installer les mises à jour de sécurité n’est par ailleurs pas une garantie de protection. Par définition, les patchs ne colmatent que les brèches dont les éditeurs sont au courant. Ces mises à jour doivent donc être accompagnées de mesures d’hygiène informatique, toujours les mêmes : sauvegarde des fichiers, suppression de tout composant ou logiciel qui n’est pas utilisé, n’attribuer que le moins de privilèges possibles à chaque utilisateur, surveiller les fichiers journaux et ainsi de suite. Trend Micro en liste d’ailleurs une série à la fin de son billet.
Il est probable que les entreprises finiront par s’adapter petit à petit à ce type de menace en faisant évoluer leurs règles, quand ce n’est pas déjà le cas. Signe qui ne trompe pas, les éditeurs de solutions de sécurité tablent de plus en plus sur des solutions qui vont bien au-delà du simple antivirus, en renforçant leurs offres d’apprentissage profond et de surveillance distante. Mais au vu des cas que l’on peut voir encore en 2017, un constat s’impose : la route vers la sécurité aura été apprise par beaucoup de manière bien brutale.
