Serveur offline ? Et si c’était le nouveau ransomware Fairware ?

Staying-updated-about-current-security-threats-can-help-ensure-protection-for-the-future_459_40115993_0_14124508_300-300x200Alors que l’actualité autour des ransomware est toujours aussi riche, notons l’apparition d’une nouvelle variante nommée FAIRWARE et qui s’en prend aux serveurs web sous Linux.

Fairware est mentionné pour la première fois via un post sur le forum de Bleeping Computer. Ses victimes pensent que leurs machines ont été infectées via une attaque par force brute. Une fois présents sur les serveurs, les assaillants auraient chiffré et supprimé les contenus des répertoires web, en y laissant un message qui exigent de régler une rançon de 2 Bitcoins pour récupérer les données. Bien sûr, la suppression du contenu du répertoire www rend le serveur inutilisable, ce qui est particulièrement problématique pour les applications Web critiques. En cas de non-paiement de la rançon sous 2 semaines, les victimes sont informées d’une possible divulgation publique des fichiers détournés.

Il n’est pas encore clair si l’auteur de Fairware retire effectivement les fichiers avant suppression, ou s’il s’agit d’une manœuvre pour inciter les victimes à régler une rançon. A ce jour, personne n’a encore payé de rançon vers le portefeuille Bitcoin indiqué dans la demande de rançon. Mais en cas de détournement de données très sensibles, on peut imaginer qu’une victime se sente contrainte de régler la somme demandée pour récupérer ses données.

Des exemples de ransomware orientés serveurs existent dans le passé (comme SAMSAM qui a su tirer parti d’une vulnérabilité de JBOSS). Le cas Fairware rappelle qu’il n’existe pas de recette miracle pour totalement immuniser votre organisation contre le ransomware. Si la majorité des attaques par ransomware cible l’utilisateur final, n’oublions pas que les serveurs hébergent des applications critiques et des données sensibles. Ils doivent, à ce titre, être intégrés à une stratégie de sécurité multicouche.

Une solution de sécurité serveur, comme Trend Micro Deep Security, peut protéger vos serveurs au sein d’un cloud hybride contre les attaques, en misant sur de multiples fonctions de sécurité qui permettent de :

  • Détection en amont d’une attaque, notamment par force brute comme dans le cas de FAIRWARE, ainsi que des mouvements latéraux de serveur à serveur. Des actions peuvent être immédiatement prises pour minimiser l’impact potentiel.
  • Protection de vos serveurs contre les attaques (comme SAMSAM) qui tirent parti d’une vulnérabilité pour s’immiscer dans le serveur.
  • Protection des serveurs de fichier d’entreprise, qui hébergent de forts volumes de données, contre les attaques menées après piratage d’un utilisateur final. Les administrateurs sont alertés pour pouvoir intervenir rapidement et neutraliser la menace.

Pour aller plus loin, nous vous proposons également des conseils et outils particulièrement utiles pour pouvoir lutter contre ces menaces. Ce webinar en anglais est aussi disponible pour vous éclairer quant aux méthodes pour protéger votre organisation.

Leave a Reply

Your email address will not be published. Required fields are marked *