Les pirates informatiques déploient GandCrab Ransomware via une vulnérabilité de Confluence corrigée

gandcrab ransomware a révélé la vulnérabilité de confluence Le logiciel de collaboration de la société australienne Atlassian Confluence est à nouveau sur les radars des pirates. Bien que la société ait publié un correctif pour un ensemble de vulnérabilités critiques dans son produit principal le 20 mars 2019, il semble que les attaquants sont toujours capables exploiter un de ces bugs pour infecter les serveurs de milliers entreprises dans le monde entier avec le très répandu et dévastateur GandCrab ransomware . GandCrab est apparu en janvier 2018 et ses créateurs le proposent toujours sur des forums clandestins à autres groupes de pirates en échange une part des bénéfices. Comme il n’existe toujours pas de clé de décryptage gratuite pour la dernière version de GandCrab 5.2, ce malware représente une menace majeure pour les consommateurs et les entreprises.

Basé sur Java, Confluence est une application de type wiki qui permet aux collaborateurs d’une entreprise d’avoir un espace partagé où ils peuvent travailler sur des projets communs et effectuer des tâches. La vulnérabilité problématique suivie en tant que CVE-2019-3396 est liée à Confluence Widget Connector, une fonctionnalité qui permet aux utilisateurs d’incorporer le contenu de médias sociaux ou d’autres sites Web dans des pages Web. Cette faille de sécurité permet aux attaquants d’injecter des commandes dans «_template», puis d’exécuter du code à distance non autorisé. Cela leur permet acquérir un contrôle complet sur hôte ciblé. Selon les représentants de la société australienne, toutes les versions de Confluence Server et Confluence Data Center antérieures à 6.6.12, 6.12.3, 6.13.3 et 6.14.2 sont concernées.

Failles de sécurité découvertes comme cause première de la vulnérabilité de Confluence

La société de cybersécurité Alert Logic vient de publier un rapport selon lequel un code d’exploitation de validation de concept pour le CVE - 2019 - 3396 a été publié le 10 avril 2019 et il a fallu environ une semaine pour que les premiers serveurs en infraction se produisent. Le premier des clients de Confluence concernés a reçu une charge malveillante qui a forcé le système à interagir avec une adresse IP connue dans la base de données Alert Logic. En particulier, elle était initialement associée à une autre faille de sécurité - une vulnérabilité Oracle Weblogic appelée CVE - 2017 - 10271. Cette découverte a conduit les chercheurs à conclure que les mêmes attaquants qui contrôlent adresse IP sont également responsables des exploits de vulnérabilité de Confluence.

TRENDING

Why Cyber Criminals Get Away With Cyber Crime

Cyber criminals use malware & other hacking techniques to steal data & money. Your PC may be vulnerable to cyber attacks. What should you do?

Get SpyHunter Today!

Le rapport Alert Logic fournit une vue détaillée des attaques. Une fois les serveurs Confluence compromis, les attaquants déploient un contenu malveillant qui, à son tour, télécharge et exécute un script PowerShell malveillant sur le système cible. Ensuite, ce script télécharge une version spécialement conçue de agent de post-exploitation PowerShell Open Source, appelée Empire, à partir une page Pastebin. Les attaquants utilisent ensuite agent Empire pour injecter un fichier exécutable dans la mémoire un processus en cours exécution. Des recherches ultérieures ont montré que ce fichier exécutable s’appelle len.exe et représente le célèbre programme ransomware GandCrab 5.2.

La méthode peu commune utilisée pour propager GandCrab via exécution de code à distance non authentifié a abord déconcerté les chercheurs, car les ransomwares sont généralement distribués par le biais de courriels de phishing auxquels sont attachés des documents Office malveillants. Les pirates exploitent généralement les vulnérabilités des logiciels de type serveur pour déployer des logiciels malveillants de cryptographie minière, car ces programmes garantissent une meilleure utilisation des ressources de ces systèmes.. Toutefois, dans le cas de la vulnérabilité Confluence, les attaquants ont probablement pris en compte le fait que application contient des données entreprise précieuses qui ne sont peut-être pas suffisamment sauvegardées. Par conséquent, le produit potentiel une attaque par ransomware dépassera probablement les bénéfices tirés de extraction de la crypto-monnaie le les hôtes infectés.

Laisser une Réponse

Veuillez ne pas utiliser ce système de commentaires pour des questions de soutien ou de facturation. Pour les demandes d'assistance technique de SpyHunter, veuillez contacter directement notre équipe d'assistance technique en ouvrant un ticket d'assistance via votre SpyHunter. Pour des problèmes de facturation, veuillez consulter notre page «Questions de facturation ou problèmes?". Pour des renseignements généraux (plaintes, juridique, presse, marketing, droit d’auteur), visitez notre page «Questions et commentaires».