Posté le janvier 7, 2020 à 9:25
LE LOGICIEL DE RANÇON REVIL CIBLE MAINTENANT LES SERVEURS VPN NON PATCHÉS
Les experts en sécurité ont mis en garde contre les récentes activités des cyber-attaquants qui utilisent le logiciel de rançon REvil. Cette fois, les hackers cherchent à désactiver l’antivirus et à infiltrer les systèmes via des serveurs Pulse Secure non patchés.
Les chercheurs en sécurité conseillent à ceux qui exploitent le VPN Pulse Secure de mettre à niveau et de patcher leurs serveurs, sous peine de perdre leur position de force dans les grosses attaques de logiciels de rançon. Selon les chercheurs, il est très facile pour les attaquants d’attaquer les serveurs VPN vulnérables en utilisant l’algorithme de recherche Shodan.io dans les Internet des Objets.
Le mois dernier, des chercheurs ont découvert le logiciel de rançon REvil (Sodinokibi) lorsqu’il a attaqué CyrusOne, un fournisseur américain de services de données qui est coté au NASDAQ. Le logiciel de rançon a également infiltré plusieurs portails de fournisseurs de services gérés ainsi que plus de 400 cabinets de dentistes.
Un rançongiciel classifié «de gros gibier»
Kevin Beaumont, chercheur en sécurité au Royaume-Uni, a classé REvil dans la catégorie des logiciels de rançon «de gros gibier» capables de causer de graves dégâts au système hôte. Selon lui, les attaquants l’ont constamment utilisé pour crypter des systèmes commerciaux hautement sensibles et ont demandé des sommes énormes en rançon. Au départ, le logiciel de rançon a profité de la vulnérabilité d’Oracle WebLogic pour infecter les systèmes. Le rançongiciel a été découvert en avril dernier.
Le logiciel de rançon REvil est uniquement capable d’attaquer les serveurs VPN Pulse Secure qui n’ont pas encore appliqué les mises à jour de patchs. Déjà, en octobre de l’année dernière, le centre national de sécurité du Royaume-Uni, l’agence de sécurité nationale des États-Unis, ainsi que la CISA, ont émis des avertissements sur les vulnérabilités de ces VPN.
Les agences de sécurité ont émis des avertissements lorsque certains hackers parrainés par l’État ont exploité les vulnérabilités des serveurs VPN Fortinet et Pulse Secure.
Maintenant, les cyberattaquants ont adopté la faille et lancent une attaque sur les systèmes. La vulnérabilité sur le serveur VPN sécurisé est assez mauvaise car elle donne un accès non contrôlé sans avoir à authentifier les informations d’identification des attaquants. Les chercheurs ont également déclaré qu’il permet aux attaquants de se connecter à distance au réseau de l’entreprise, de consulter à distance les mots de passe en cache et de voir les historiques. Il permet également aux hackers de désactiver l’authentification multi-facteur du serveur.
Comment le logiciel de rançon REvil a-t-il réussi à pénétrer dans les systèmes
Le chercheur Beaumont a souligné qu’il a détecté deux des incidents de logiciel de rançon la semaine dernière. Selon lui, les hackers ont utilisé la même stratégie pour avoir accès au réseau. Le hacker a ensuite pris le contrôle de l’administrateur du domaine et a utilisé le logiciel d’accès à distance pour naviguer dans le système.
A ce stade, le logiciel de rançon REvil a pu désactiver les outils de sécurité des points d’accès et il s’est infiltré dans tous les systèmes par le biais des invites de commande PsExec. L’invite de commande est généralement une commande cachée sur laquelle le système ne peut pas agir, à l’exception du logiciel de rançon.
Bad Packets, une société de sécurité, a effectué un contrôle de sécurité le 4 janvier. Selon cette vérification, il y avait environ 3820 serveurs VPN Pulse Secure qui n’avaient pas encore été mis à niveau contre la vulnérabilité. Sur ce nombre, plus de 1 300 sont des serveurs vulnérables basés aux États-Unis.
Toutefois, Scott Gordon, directeur de la gestion de Pulse Secure, a déclaré que de nombreux clients de Pulse ont appliqué efficacement le patch qu’il a publié en avril de l’année dernière, et ne sont plus susceptibles d’attaquer leurs systèmes.
Il a ajouté que certaines organisations n’ont pas encore appliqué ces patchs. Selon lui, ces organisations qui n’ont pas encore mis à jour sont les plus vulnérables à l’attaque par rançon. Bad Packets a signalé la vulnérabilité de plus de 20 000 serveurs VPN en août de l’année dernière.
Sur ce nombre, environ 5 % sont encore vulnérables. Gordon a demandé à ses clients de s’assurer que leurs systèmes sont mis à jour afin de prévenir toute vulnérabilité que les hackers pourraient cibler avec un logiciel de rançon.
Il a exhorté les clients à rapiécer leurs systèmes rapidement puisque le patch du côté serveur n’a pas besoin d’eux pour mettre à jour le client. Il a souligné que la seule façon pour les organisations de ne pas être une cible est de mettre en place les partchs nécessaires sur les systèmes. Gordon leur a conseillé de couvrir les vulnérabilités dès que possible pour éviter les hackers.
