Serveurs

Log4J : Un ransomware est déployé dans les attaques Log4Shell

Par Tutos-Info , le 4 décembre 2022 , mis à jour le 4 décembre 2022 - 3 minutes de lecture
logo fibre
5/5 - (1 vote)

Il fallait s'y attendre, la faille étant d'une criticité importante (10/10) , les pirates utilisent l'exploit Log4Shell pour y déployer des Ransomwares.

Les conséquences pour les entreprises pourraient être dramatique.

Un premier ransomware détecté

La vulnérabilité Log4Shell est utilisée pour télécharger et installer un ransomware a été découvert par des chercheurs.

Rappelez vous Vendredi 10 décembre, un programme d'exploitation public a été publié pour une vulnérabilité critique de type "0Day" appelée "Log4Shell".

La faille se situe dans la bibliothèque Log4j(voir notre article complet pour savoir si vous êtes impactés par Log4j)

Cette bibliothèque est en réalité un système de journalisation Java Apache

La vulnérabilité permet aux acteurs de la menace de créer des chaînes JNDI spéciales qui, lorsqu'elles sont lues par Log4j, amènent la plate-forme à se connecter à l'URL incluse et à exécuter du code. Les attaquants ont ainsi la main sur les systèmes et les équipements avec des droits de type Admin.

Bien que cette vulnérabilité ait été corrigée dans Log4j 2.15.0 et même renforcée dans Log4j 2.16.0, elle est largement exploitée.

C'est quoi un Ransomware ?

Les Ransomwares (Rançongiciel) sont des virus qui chiffrent vos données.

Les victimes ne peuvent plus ouvrir les programmes, les applications et les fichiers du serveur.

Les fichiers sont donc inexploitable et il faut restaurer les données pour de nouveau y accéder.

Certains Ransomware se diffusent à travers le réseau de l'entreprise pour chiffrer un maximum de machines.

Les pirates proposent également de restaurer vos données contre un paiement en cryptomonnaies.

Il est fortement déconseillée de payer la rançon, sachez que certaines entreprises sont désormais capables de déchiffrer les données.

Le premier Exploit Log4j qui installe un Ransomware

C'est la société BitDefender qui a fait la découverte du premier Ransomware installé à l'aide de l'exploit Log4Shell

Le processus est assez simple l'exploit télécharge une classe Java depuis hxxp://3.145.115[.]94/Main.class qui est chargée et exécutée par l'application Log4j.

Une fois chargée, elle télécharge un binaire .NET depuis le même serveur pour installer un nouveau ransomware nommé Khonsari

Les fichiers chiffrés portent le nom du ransomware.

Ransomware Khonsari
Capture issue du site https://www.bleepingcomputer.com/

Voici une illustration d'une attaque avec la faille Log4J :

Ransomware KHONSARI que faire ?

Khonsari utilise un chiffrement valide et est sécurisé, ce qui signifie qu'il n'est pas possible de récupérer des fichiers pour le moment.

Il faut être vigilant sur vos sauvegardes, elle vous permettront de remettre en route vos machines de production.

Si vos fichiers sont chiffrer pour le moment vous ne pouvez pas les déchiffrer. Dans le doute vous pouvez conservez les fichiers impactés pour éventuellement les déchiffrer plus tard.

Parfois certains développeurs arrivent à créer des programmes pour déchiffrer vos fichiers.

Bien évidemment pour vos protéger il faut absolument patcher la faille Log4J.

Pour les infrastructures qui bénéficient d'un IPS (Système de prévention d'intrusion) des signatures sont disponibles  sur les sites des constructeurs.

Tutos-Info

Fondateur de Tutos-Informatique, je suis Administrateur Systèmes et Réseaux. Je propose des tutoriels suite à mes interventions clients.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.