Les logiciels oubliés, non corrigés et obsolètes constituent un point d'entrée idéal pour les cybercriminels. C'est également le cas dans le cas actuel d'une attaque de ransomware qui a exploité le logiciel Adobe ColdFusion vieux de 11 ans sur un serveur.
Sophos a découvert une attaque particulièrement sophistiquée appelée Cring Ransomware Exploits Ancient ColdFusion Server. Les opérateurs du rançongiciel Cring ont attaqué leur victime après avoir piraté un serveur exécutant une version non corrigée du logiciel Adobe ColdFusion datant de 11 ans. La victime a utilisé le serveur pour collecter des feuilles de calcul et des données comptables pour la paie et pour héberger un certain nombre de machines virtuelles. Les attaquants ont pénétré le serveur Web en quelques minutes et ont exécuté le rançongiciel 79 heures plus tard.
Les criminels ont utilisé des techniques sophistiquées
L'enquête de Sophos a révélé que les attaquants utilisaient des outils automatisés pour analyser le site Web de la victime dans un premier temps. Une fois qu'ils ont découvert qu'une version non corrigée de ColdFusion était en cours d'exécution sur le serveur, ils ont pu s'introduire en quelques minutes. Après cela, ils utilisent des techniques de dissimulation particulièrement sophistiquées : ils initient du code de codage dans la mémoire et couvrent leurs traces en écrasant des fichiers contenant des données corrompues ou des journaux supprimés et d'autres artefacts que les chasseurs de menaces utilisent dans leurs enquêtes. Les pirates ont également pu désactiver les produits de sécurité car la fonction anti-effraction était désactivée. Enfin, ils ont publié une note indiquant qu'ils ont exfiltré des données qu'ils publieront si une "bonne affaire" ne se concrétise pas.
Les anciens logiciels sont une passerelle dangereuse
"Les appareils exécutant des logiciels vulnérables et obsolètes sont exactement les passerelles que les cybercriminels recherchent comme la voie la plus simple vers leur victime. Le rançongiciel Cring n'est pas nouveau, mais il est rare. Dans le cas examiné, la cible de l'attaque était une société de services où seul un serveur Internet avec un logiciel obsolète et non corrigé ouvrait la porte à l'attaque. Ce qui est étonnant, c'est que ce serveur était utilisé quotidiennement. Souvent, les appareils les plus vulnérables sont ceux qui sont inactifs, soit oubliés, soit négligés lors de la mise à niveau ou de l'application de correctifs. Mais quel que soit leur statut (actif ou inactif), les serveurs ou appareils non corrigés et connectés à Internet sont les principales cibles des cybercriminels qui recherchent des points d'entrée vulnérables. Les administrateurs informatiques doivent donc disposer d'un inventaire précis de tous les appareils connectés et ne pas mettre les anciens systèmes critiques de l'entreprise sur le réseau public. Si les organisations ont de tels appareils quelque part sur leur réseau, elles peuvent être presque certaines que les cybercriminels seront attirés par eux », a déclaré Andrew Brandt, chercheur principal chez Sophos.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.