RansomWeb, le Ransomware vise maintenant les bases de donnée de vos serveurs web

ransomweb

Les pirates améliorent leur capacité offensive avec des variantes du RansomWare. Ce dernier est une attaque qui consiste à verrouiller totalement le PC de l’utilisateur et en exigeant une rançon. Mais désormais, les pirates utilisent cette technique pour crypter et verrouiller les bases de donnée sur les serveurs web. Cette nouvelle méthode nécessite de la patience et beaucoup de travail, car il faut accéder au serveur et crypter les champs importants dans une base de donnée. Quand les pirates estiment que le délai est suffisant et que toutes les sauvegardes de la base de donnée contiennent la version cryptée, ils demandent une rançon à la victime.

Le contenu est décrypté à la volée jusqu’à ce qu’on supprime la clé

Les chercheurs de High-Tech Bridge ont rencontré cette nouvelle méthode appelée RansomWeb lorsqu’ils enquêtaient sur un problème dans une entreprise de finance concernant une erreur de base de donnée. La faute revient à une application et des scripts de serveur qui ont été compromis 6 mois auparavant. Ces failles ont permis de crypter tout le contenu avant qu’il soit ajouté à la base de donnée et ensuite, on pouvait le décrypter lorsqu’on en faisait la demande à la base.

Cette méthode a permis au site de fonctionner sans problème et d’éviter les soupçons sur l’infection de la base de donnée. Selon les chercheurs, la clé de cryptage qui déverouillait les données étaient stockés sur un serveur à distance et elle était envoyée via une connexion sécurisée pour éviter son interception. Pendant 6 mois, les pirates ont attendus patiemment que toutes les sauvegardes de la base de donnée soient cryptés et ensuite, ils ont supprimés la clé de cryptage du serveur distant. La base de donnée est devenue inutilisable et tous les sites de l’entreprise ont cessés de fonctionner. Les pirates ont envoyés leur demande de rançon si la victime voulait retrouver la clé de cryptage.

Tous les sites sont visés par le RansomWeb

A la base, les chercheurs pensaient que seules les entreprises de finance étaient visés, mais ils ont découvert une attaque similaire sur un forum phpBB. Sur ce dernier, c’était l’authentification qui était impossible après l’attaque. Pendant l’analyse, les chercheurs ont découvert 2 scripts qui ont été installés avec des trappes cachés et l’un des scripts modifiait le fichier config.php pour inclure les routines de cryptage et de décryptage. Le second fichier traitait les identifiants nécessaires pour les crypter.

Désormais, le piratage est devenu une manne financière non-négligeable. Ces pirates s’attaquent précisément à des sites qui devront payer s’ils veulent retrouver leur donnée. Et une technique telle que RansomWeb est facile à mettre en place et elle peut provoquer des dommages irréparables. Les chercheurs ajoutent que ce type d’attaque va connaitre une augmentation exponentielle à l’avenir.

Source

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s