Cyberattaque

La faille du ransomware Clop a permis aux victimes de Linux de récupérer des fichiers pendant des mois

Par Philippe Ternision , le 8 février 2023 , mis à jour le 8 février 2023 - 5 minutes de lecture
hacker russie
AccueilActusCyberattaqueLa faille du ransomware Clop a permis aux victimes de Linux de récupérer des fichiers pendant des mois
5/5 - (1 vote)

Même si le groupe Clop ransomware utilise actuellement une souche virale qui cible spécifiquement les serveurs Linux, une faiblesse dans l’algorithme de cryptage permet depuis longtemps aux victimes de restaurer secrètement et gratuitement leurs fichiers.

Après que l’organisation de la menace ait employé les versions Windows et Linux de Clop dans une attaque contre une université en Colombie, Antonis Terefos, chercheur chez SentinelLabs, a remarqué l’existence de cette nouvelle version Linux de Clop en décembre 2022.

Bien qu’elle partage de nombreuses similitudes avec la version Windows – les deux emploient le même algorithme de chiffrement et une logique de processus presque identique – il existe encore quelques divergences.

Celles-ci sont principalement liées à l’absence de prise en charge par Linux de certains appels et fonctionnalités de l’API du système d’exploitation. Le virus Linux créé par Clop en est également à ses premiers stades de développement ; il ne dispose pas d’outils d’évasion et d’obscurcissement efficaces, et il présente de nombreux bogues qui permettent aux victimes de récupérer leurs fichiers sans avoir à verser d’argent aux criminels.

Ciblage des serveurs de bases de données Oracle

L’exécutable Linux (ELF) du ransomware Clop lance un nouveau processus qui tente d’augmenter les permissions afin de permettre le cryptage des données. Le répertoire “/home” de l’utilisateur, qui contient toutes les informations personnelles, le répertoire “/root”, “/opt”, et les répertoires Oracle (“/u01”-“/u04”) utilisés pour stocker les fichiers de la base de données ou servir de points de montage pour le logiciel Oracle font partie des fichiers et des dossiers qu’il cible. Les ransomwares Linux se concentrent souvent sur le chiffrement des machines virtuelles ESXi, et il est donc rare qu’ils ciblent explicitement les répertoires de bases de données Oracle. Le mécanisme de hachage que la version Windows utilise pour empêcher le chiffrement de certains types de fichiers et de dossiers n’est pas pris en charge par la variante Linux. De plus, Linux ne dispose pas d’un système permettant de traiter différemment les fichiers de tailles différentes. La version Linux de Clop ne dispose pas non plus d’une énumération des disques, qui permettrait d’identifier le point de départ du chiffrement récursif des dossiers, ni d’options de ligne de commande, qui permettraient à l’utilisateur de mieux contrôler le processus de chiffrement.

Défauts de chiffrement

La technique asymétrique basée sur RSA utilisée dans la variante Windows ne permet pas de chiffrer les clés RC4 utilisées pour le chiffrement des fichiers dans la version Linux actuelle. Au lieu de cela, dans la version Linux de Clop, les clés de chiffrement sont créées à l’aide d’une “clé maître” RC4 codée en dur, qui est ensuite utilisée pour chiffrer les données et les enregistrer localement sur le fichier. De plus, la clé RC4 n’est jamais validée, contrairement à Windows, où elle est validée avant le début du processus de chiffrement. SentinelLabs a inversé le chiffrement en utilisant cette approche non sécurisée, et un script Python pour le faire est actuellement accessible sur GitHub. Ce schéma faible n’empêche pas ces actions de se produire.

Encryption scheme flaw
Défaut du schéma de cryptage(SentinelLabs)

SentinelLabs a découvert que lorsque la clé chiffrée est écrite dans un fichier, le virus publie également d’autres données, comme des informations sur le fichier, telles que sa taille et l’heure du chiffrement, en plus de l’absence de protection de la clé. Ces informations doivent être gardées secrètes car elles pourraient être utilisées par des experts médico-légaux pour entreprendre des décryptages ciblés de fichiers particuliers et inestimables.

Writing the RC4 and extra data on the file
Inscription du RC4 et de données supplémentaires sur le fichier(SentinelLabs)

Dans son état actuel, le ransomware Clop pour Linux n’est pas susceptible de représenter un danger sérieux. La publication d’un décrypteur incitera probablement ses créateurs à publier des mises à jour sécurisées avec des techniques de chiffrement appropriées. Selon SentinelLabs, qui a parlé à BleepingComputer, ils ont donné leur décrypteur à la police afin qu’elle puisse aider les victimes à récupérer leurs fichiers.

SentinelLabs a déclaré à BleepingComputer :

Nous avons communiqué très tôt nos conclusions aux partenaires pertinents des services de police et de renseignement et nous continuerons à nous engager auprès des entités nécessaires pour modifier l’économie du secteur des ransomwares en faveur des défenseurs. L’utilisation de la variante Linux dans les attaques réelles de Clop montre que, malgré ses défauts, il est toujours préférable pour les acteurs de la menace de disposer d’une version Linux, même si elle est simple à compromettre, plutôt que de ne pas pouvoir attaquer les ordinateurs Linux au sein des organisations cibles.

 

 

 

Vues 98

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.