« Récemment, une large campagne de ransomware distribuant Samsam a modifié le spectre de menace de la distribution des ransomwares. Viser des vulnérabilités côté serveur pour distribuer des ransomwares est une nouvelle dimension pour une menace qui s’avère déjà prolifique », a noté Talos, la division Cisco qui s’intéresse aux menaces et potentielles menaces en termes de sécurité. Pour rappel, des pirates se sont servis de JexBoss, un outil open source pour tester et exploiter des serveurs d’applications JBoss, afin de pénétrer le réseau. Une fois sur le réseau, ils ont procédé au chiffrement de plusieurs systèmes Windows en utilisant le ransomware Samsam. « Par le passé des ransomwares comme CryptoLocker ou TeslaCrypt nécessitaient que quelqu’un ouvre un fichier joint ou visite un site. SamSam, lui, cible les serveurs vulnérables », expliquait Craig Williams, responsable technique de l’équipe Talos. Une manière de répondre à un double objectif selon les experts en sécurité : être indétectable et provoquer un maximum de dégâts via le réseau.
Le groupe Talos a expliqué avoir mené une enquête pour déterminer le nombre de machines vulnérables : « au départ, nous avons commencé à parcourir internet à la recherche de machines vulnérables. Ce qui nous a conduits à approximativement 3,2 millions de machines à risque ».
Dans le cadre de cette enquête, ils ont également cherché à déterminer le nombre de machines qui étaient déjà compromises et attendaient potentiellement le déclenchement de la charge utile du ransomware. « Nous avons trouvé plus de 2100 portes dérobées installées sur près de 1600 adresses IP » qui appartiennent à différentes entités (écoles, gouvernements, compagnies aériennes, etc.) que Talos a entrepris de prévenir.
« Plusieurs d’entre ces systèmes ont le logiciel Folett Destiny installé. Destiny est un système de gestion de bibliothèque qui est utilisé pour suivre les avoirs d’une bibliothèque d’école et est souvent utilisé dans des écoles primaires et secondaires de par le monde. Nous avons contacté Folett, qui a décrit un système de patching impressionnant qui, en plus de colmater les failles à partir de la version 9.0 à la version 13.5, repère également tous les fichiers qui n’appartiennent pas à Destiny et qui figurent sur le système pour aider à enlever toutes portes dérobées. Le support technique de Folett va par la suite s’adresser aux clients qui ont trouvé des fichiers suspects sur leur système. Il s’agit d’un impératif, étant donné l’étendue de cette menace, que tous les utilisateurs de Destiny s’assurent de se servir de ce correctif ».
Pendant son enquête, Talos a constaté la présence de plusieurs webshell sur les serveurs affectés (mela, shellinvoker, jbossinvoker, zecmd, cmd, genesis, sh3ll et probablement Inovkermngrt et jbot), ce qui « implique que bon nombre de ces systèmes ont été compromis à plusieurs reprises par les différents acteurs ». Il faut rappeler que les webshell sont des scripts qui permettent d’interagir sur les serveurs via le protocole HTTP. Aussi, ils permettent de prendre potentiellement le contrôle à distance des serveurs. Raison pour laquelle « les webshell sont un problème majeur de sécurité étant donné qu’ils indiquent qu’un attaquant a déjà compromis un serveur et peut y avoir accès à distance. Ce qui implique qu’un serveur web compromis peut être utilisé comme pivot pour se déplacer dans le réseau ».
Étant donné la sévérité de ce problème, un hôte compromis doit être éteint immédiatement étant donné qu’il peut être abusé de plusieurs façons. Talos recommande plusieurs mesures une fois que vous avez identifié un webshell sur un serveur. « Notre première recommandation, si c’est possible, retirer tous les accès externes au serveur. Cela empêchera que les pirates puissent y avoir accès à distance », « la meilleure seconde option serait de restaurer une sauvegarde avant la compromission et faire la mise à jour du serveur vers une version non vulnérable avant de le remettre en production ».
Source : blog Talos, blog Cisco
Voir aussi :
Pourquoi les ransomwares font-ils plus peur que les autres types de virus ? Voici des éléments de réponse compilés sur des forums de cybersécurité 
