Actus

Serveurs Confluence piratés pour déployer AvosLocker, le rançongiciel Cerber2021

Par , le 11 juin 2022 - 10 minutes de lecture
Serveurs Confluence piratés pour déployer AvosLocker, le rançongiciel Cerber2021
Notez l'article

Les gangs de ransomwares ciblent désormais une vulnérabilité d’exécution de code à distance (RCE) récemment corrigée et activement exploitée affectant les instances Atlassian Confluence Server et Data Center pour l’accès initial aux réseaux d’entreprise.

Si elle est exploitée avec succès, cette vulnérabilité d’injection OGNL (CVE-2022-26134) permet à des attaquants non authentifiés de prendre le contrôle à distance de serveurs non corrigés en créant de nouveaux comptes d’administrateur et en exécutant du code arbitraire.

Peu de temps après qu’une exploitation active a été signalée dans la nature et qu’Atlassian a corrigé le bogue, des exploits de preuve de concept ont également été divulgués en ligne, réduisant encore plus le niveau de compétence requis pour l’exploitation.

La gravité de cette faille de sécurité et les exploits déjà disponibles ne sont pas passés inaperçus, plusieurs botnets et acteurs malveillants l’exploitant activement dans la nature pour déployer des logiciels malveillants de cryptominage.

Les rançongiciels commencent à encercler les serveurs Confluence non corrigés

Les rançongiciels commencent à encercler les serveurs Confluence non corrigés

Comme l’ont découvert les chercheurs de la société suisse de renseignement sur les cybermenaces Prodaft, les affiliés du rançongiciel AvosLocker ont déjà sauté dans le train.

Ils ciblent et piratent désormais les serveurs Confluence exposés à Internet qui ne sont toujours pas corrigés “pour infecter systématiquement plusieurs victimes à grande échelle”.

Ce ciblage est illustré par une capture d’écran du serveur de commande et de contrôle d’AvosLocker où une campagne de “confluence” a été créée par les acteurs de la menace, comme indiqué ci-dessous.

“En effectuant des analyses de masse sur divers réseaux, les acteurs de la menace AvosLocker recherchent des machines vulnérables utilisées pour exécuter les systèmes Atlassian Confluence”, a déclaré Prodaft à BleepingComputer.

“AvosLocker a déjà réussi à infecter plusieurs organisations de différentes parties du globe ; y compris, mais sans s’y limiter, les États-Unis, l’Europe et l’Australie.”

BleepingComputer a également été informé par de nombreuses victimes que le rançongiciel Cerber2021 (également connu sous le nom de CerberImposter) cible et chiffre activement les instances Confluence non corrigées contre CVE-2022-26134.

Le créateur d’ID-Ransomware, Michael Gillespie, a déclaré à BleepingComputer que les soumissions identifiées comme CerberImposter incluent des fichiers de configuration Confluence chiffrés, ce qui montre que les instances Confluence sont chiffrées dans la nature.

La publication des exploits POC CVE-2022-26134 coïncide avec une augmentation du nombre d’attaques réussies du rançongiciel Cerber.

Microsoft a également confirmé vendredi soir avoir vu des serveurs Confluence exploités pour installer Cerber2021.

Cerber ciblait auparavant les serveurs Confluence dans le monde entier en décembre 2021 en utilisant des exploits CVE-2021-26084 qui permettent à des attaquants non authentifiés d’obtenir l’exécution de code à distance sur des systèmes vulnérables.

Largement exploité à l’état sauvage

Largement exploité à l'état sauvage

Depuis que la société de cybersécurité Volexity a divulgué CVE-2022-26134 comme un bogue zero-day activement exploité la semaine dernière, la CISA a également ordonné aux agences fédérales d’atténuer la faille en bloquant tout le trafic Internet vers les serveurs Confluence sur leurs réseaux.

Volexity a également révélé que plusieurs acteurs de la menace liés à la Chine utilisent probablement des exploits pour cibler des serveurs vulnérables afin de déployer des shells Web.

Un jour après la publication d’informations sur ce bogue activement exploité, Atlassian a publié des mises à jour de sécurité et a exhorté ses clients à corriger leurs installations pour bloquer les attaques en cours.

“Nous recommandons fortement la mise à niveau vers une version fixe de Confluence car plusieurs autres correctifs de sécurité sont inclus dans les versions fixes de Confluence”, a déclaré Atlassian.

Si vous ne pouvez pas immédiatement mettre à niveau vos instances Confluence Server et Data Center, vous pouvez appliquer une solution de contournement temporaire qui nécessite la mise à jour de certains fichiers JAR sur le serveur Confluence, comme décrit ici.

Les ransomwares peuvent-ils infecter le wifi ?

Les ransomwares peuvent-ils infecter le wifi ?

Oui, les ransomwares peuvent se déplacer via les réseaux wifi pour infecter les ordinateurs. Les attaques de rançongiciels qui passent par le Wi-Fi peuvent perturber des réseaux entiers, entraînant de graves conséquences commerciales. Un code malveillant qui se traduit par un rançongiciel peut également se propager sur différents réseaux Wi-Fi, fonctionnant comme le fait un ver informatique.

Un rançongiciel peut-il infecter un routeur ? Oui, un routeur Wi-Fi peut attraper un virus. Les routeurs Wi-Fi sont un pont entre votre ordinateur ou votre téléphone et Internet, et ce sont des cibles lucratives pour les cybercriminels. Les logiciels malveillants sur un routeur peuvent se propager à n’importe quel appareil connecté au routeur.

Comment votre réseau peut-il être infecté par un ransomware ?

Les ransomwares se propagent généralement via des e-mails de phishing contenant des liens vers des pages Web ou des pièces jointes malveillantes. L’infection peut également se produire par le biais d’un téléchargement « intempestif », qui se produit lorsqu’un utilisateur visite un site Web infecté et que des logiciels malveillants sont téléchargés et installés à l’insu de l’utilisateur.

Un ordinateur infecté peut-il infecter un routeur ?

Votre routeur se situe entre vos appareils et Internet, ce qui en fait une cible attrayante pour les pirates. Cependant, nous n’y prêtons généralement pas trop d’attention, sauf si quelque chose ne va pas. Les routeurs peuvent être attaqués et infectés par des logiciels malveillants, mettant tout votre réseau en danger.

Pouvez-vous savoir d’où viennent les rançongiciels ?

Pouvez-vous savoir d'où viennent les rançongiciels ?

Le moyen le plus efficace de trouver la source de l’attaque consiste à identifier le compte d’utilisateur de domaine du propriétaire du fichier à partir duquel le rançongiciel est créé. Recherchez ensuite les ordinateurs du réseau qui sont connectés à ce compte.

Les attaques de rançongiciels peuvent-elles être tracées ? Identification des portefeuilles d’encaissement de ransomwares : effectuer des paiements de traçage vers les portefeuilles que nous avons identifiés lors de la phase précédente nous permet de retracer comment les paiements de rançon ont été transférés via la chaîne bitcoin et de découvrir les portefeuilles utilisés par les cybercriminels pour effectuer des retraits.

Les rançongiciels peuvent-ils être détectés ?

Types de détection de ransomwares et leurs techniques Plus tôt vous pourrez détecter une attaque, plus vos données seront en sécurité. Il existe trois façons principales de détecter les ransomwares : par signature, par comportement et par trafic anormal.

Comment pourriez-vous facilement identifier les systèmes qui ont été compromis par un ransomware ?

Comment détecter les ransomwares sur votre réseau

  • Méfiez-vous des extensions de fichiers connues. …
  • Méfiez-vous de l’augmentation des noms de fichiers. …
  • Créez un partage réseau sacrificiel. …
  • Mettez à jour vos systèmes IDS avec les règles de détection des kits d’exploitation. …
  • Utilisez des agents anti-ransomware basés sur le client.

Les données du rançongiciel peuvent-elles être récupérées ?

Les données du rançongiciel peuvent-elles être récupérées ?

Si vous avez besoin de récupérer des fichiers de ransomware, vous pouvez utiliser des solutions de sauvegarde de ransomware dédiées. Vous pouvez utiliser un logiciel de récupération de données pour : Extraire des données corrompues ou supprimées des périphériques de stockage. Réparez les partitions du disque dur ou déformatez les disques.

Le rançongiciel supprime-t-il des données ? Les cibles des attaques de rançongiciels incluent à la fois les particuliers et les entreprises. Diverses mesures peuvent être prises pour se protéger contre les attaques de ransomwares, un œil vigilant et le bon logiciel étant des étapes importantes dans la bonne direction. Une attaque de ransomware signifie soit la perte de données, soit la dépense de grosses sommes d’argent, soit les deux.

Combien de temps faut-il pour récupérer les données d’une attaque de ransomware ?

Les délais de récupération des ransomwares peuvent varier considérablement. Dans des situations très inhabituelles, les entreprises ne sont en panne que pendant un jour ou deux. Dans d’autres cas inhabituels, cela peut prendre des mois. La plupart des entreprises se situent quelque part entre deux et quatre semaines, étant donné leur difficulté à ne pas savoir ce qu’elles font.

Pouvez-vous vaincre les ransomwares ?

Utilisation de la sauvegarde des données et de la reprise après sinistre Cependant, les organisations qui disposent d’un plan de continuité d’activité complet avec des sauvegardes de données et/ou une reprise après sinistre peuvent surmonter une attaque de ransomware réussie. Même une simple sauvegarde locale de base de toutes les données de l’entreprise sur un disque dur isolé est un outil puissant pour les entreprises.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.