Advertisement
Tesla est impliqué dans un accident mortel d'un véhicule dont la conduite autonome a été activée.

L'Image du jour

Tesla est impliqué dans un accident mortel d'un véhicule dont la conduite autonome a été activée.

French Tech : Effet pschitt ou vrai accélérateur

Dernier Dossier

French Tech : Effet pschitt ou vrai accélérateur

De la French Touch à la French Tech, c'est le message que Bpifrance a souhaité faire passer aux 30 000 visiteurs (startups, entrepreneurs, PME, ETI, g...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Ransomware : CTB-Locker s'en prend aux sites web

Dans un message s’affichant à l’écran, les pirates préviennent les victimes de leur ransomware CTB-Locker qu’ils doivent verser une rançon en bitcoins pour obtenir la clé de déchiffrement qui leur permettra de recouvrir leurs fichiers. (source : Kaspersky)

Dans un message s’affichant à l’écran, les pirates préviennent les victimes de leur ransomware CTB-Locker qu’ils doivent verser une rançon en bitcoins pour obtenir la clé de déchiffrement qui leur permettra de recouvrir leurs fichiers. (source : Kaspersky)

Ecrit en PHP, un nouveau « rançongiciel » reprenant le nom de CTB-Locker - qui s'attaquait aux ordinateurs sous Windows - vise cette fois-ci les sites web en chiffrant l'ensemble des fichiers de leurs répertoires.

Un programme malveillant qui chiffre les fichiers sur les serveurs web s’en est pris à une centaine de sites au cours des quelques dernières semaines, signalant une recrudescence dans le développement de ransomwares, ces logiciels utilisés par les pirates pour bloquer les utilisateurs de leurs victimes et leur réclamer une rançon. Celui-ci est écrit en PHP et sévit sous la dénomination de CTB-Locker. Ce nom est déjà utilisé par l’un des ransomwares les plus largement répandus sur les ordinateurs sous Windows. On ne sait pas exactement, toutefois, s’il y a une relation entre les deux.

Une fois qu’il est installé sur un serveur web, le programme remplace le fichier d’entrée index.php et crée un répertoire appelé Crypt qui contient des fichiers PHP supplémentaires. Il commence à chiffrer tous les fichiers du répertoire web lorsqu’il reçoit une requête de l’attaquant. Quand le processus de chiffrement est achevé, la page d’accueil du site web affiche un message demandant un paiement en bitcoin, la monnaie virtuelle utilisée sur Internet.

Une 1ère attaque signalée le 12 février en Grande-Bretagne

L’une des premières attaques réalisées avec cette version web de CTB-Locker a été signalée le 12 février. Elle a ciblé l’Association britannique d’aide psychologique et de psychothérapie. Il n’a pas été immédiatement établi, alors, si le site avait été touché par une véritable attaque de ransomware ou s’il s’agissait seulement d’effrayer les propriétaires du site. Certaines personnes en doutaient parce que le nom de CTB-Locker n’avait été jusque-là associé qu’au ransomware visant les PC sous Windows. Des chercheurs de Stormshield, une filiale de Airbus Defence and Space, ont depuis réussi à obtenir une copie complète du code malveillant à partir d’un autre site affecté. En fait, ils ont découvert que 102 sites avaient jusqu’à présent été infectés par ce ransomware web.

On ne sait pas comment les attaquants sont parvenus à accéder à ces sites pour installer CTB-Locker. Il est difficile de mettre cela sur le compte d’une faille dans un système de gestion de contenus particulièrement utilisé (comme WordPress par exemple), parce que certains des sites touchés n’utilisaient pas de CMS, ont indiqué les chercheurs de Stormfield dans un billet posté en fin de semaine dernière. « Les hôtes infectés exploitent à la fois Linux et Windows et la majorité d’entre eux (73%) disposent d’un service Exim (serveur SMTP) », expliquent-ils. « Certains sont vulnérables à ShellShock, mais sans disposer d’un accès avancé sur les serveurs des victimes, il est difficile de comprendre comment ce ransomware a pu infecter ces hôtes ».

En novembre, une menace similaire a peut-être ouvert la voie

Un web shell protégé par mot de passe a également été installé sur la plupart des sites touchés. Il s’agit d’un programme de type backdoor, une porte dérobée que les attaquants installent sur les serveurs web une fois qu’ils sont parvenus à y entrer sans autorisation. CTB-Locker n’est pas le premier ransomware à cibler les sites web. En novembre, des chercheurs ont découvert une menace similaire dénommée Linux.Encoder.1, mais ce programme semblait expérimental et il présentait des failles sur son chiffrement qui ont permis de créer un outil de déchiffrement. C’est un peu comme si Linux.Encoder.1 avait fourni une source d’inspiration à d’autres utilisateurs malveillants, montrant que de telles attaques contre des serveurs web étaient possibles. Si c’est le cas, CTB-Locker ne sera probablement pas le dernier à s’en prendre aux sites et à les chiffrer.

Commentant également la résurgence de CTB-Locker, les experts de l’éditeur d’outils de sécurité Kaspersky constatent que le monde des cybercriminels est en train de réinventer ces logiciels « cryptolockers ». Selon les données dont ils disposent, cette nouvelle variante, qui ne s’en prend donc qu’aux sites web, a réussi à chiffrer les fichiers racines de plus de 70 serveurs dans 10 pays dont, en Europe, la Belgique, l’Italie et la Norvège. Dans un billet, Kaspersky décrit la façon dont CTB-Locker procède.

A l’attention des utilisateurs du site, les attaquants laissent un message expliquant que les fichiers ne seront de nouveau déchiffrés que lorsqu’ils auront payé pour obtenir la clé de déchiffrement. (agrandir l'image)

En janvier dernier, en France, on a notamment appris que le ministère des Transports avait subi une série d'attaques de ransomwares ayant bloqué de nombreux PC.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

35 ans
19 Avril 1996 n°674
Publicité
Publicité
Publicité