Nous traversons vraiment une épidémie de rançon : après la propagation de WannaCry dans le monde entier, forçant Microsoft à passer à Windows XP, une société sud-coréenne d’hébergement de sites web a vu ses fichiers détournés par des logiciels malveillants développés pour Linux. Le fléau a touché 153 serveurs et a fait disparaître plus de 3 400 sites clients.
Le logiciel de rançon en question est Erebus, qui a été créé à l’origine pour Windows, mais a été modifié pour fonctionner sous Linux. Il a attaqué Nayana Internet le 12 juin et a d’abord demandé 5 milliards de wons (environ 14,5 millions) en bitcoins pour récupérer les données. Après des négociations avec les criminels, la valeur du sauvetage est tombée à 1,2 milliard de wons (3,5 millions).
On ne sait pas comment Erebus a attaqué les serveurs, mais Trend Micro spécule que les logiciels de rançon ont profité de certains exploits dans le noyau, Apache ou PHP, qui sont dépassés dans Nayana : la version de PHP est 5.1.4, sortie en 2006. Un crash du noyau Linux, connu sous le nom de “Dirty Cow”, a permis à un utilisateur moyen d’obtenir des autorisations de root et a été déprogrammé entre 2007 et 2016.
Ransomware crypte les données du serveur et crée un fichier appelé _DECRYPT_FILE.txt avec les instructions de récupération et un code d’identification de la machine détournée. Apparemment, la variante Erebus a été conçue pour les serveurs web, puisqu’elle affecte le répertoire /var/www (où les fichiers du site sont généralement stockés) et les fichiers ibdata de la base de données MySQL.
La rançon sera payée en trois versements au fur et à mesure que Nayana parviendra à récupérer les fichiers. Deux ont déjà été payés, mais la société a encore des problèmes avec certains serveurs de base de données ; le dernier ne devrait être réglé que lorsque ces machines seront de nouveau opérationnelles. Le chiffre pourrait être un record : même WannaCry n’a récolté que 170 000 en un week-end.
