CTB-Locker/Critroni s’intéresse aux sites Internet

Le ransomware CTB-Locker, connu également sous le nom Critroni, est sorti d’une hibernation prolongée et s’intéresse à de nouvelles cibles : il a commencé à attaquer des sites Internet. Les chercheurs ont baptisé cette version CTB-Locker for Websites ; cette version actualisée du ransomware chiffre le contenu des sites et exige le versement d’une rançon de 0,4 bitcoin (425 dollars) pour obtenir la clé de déchiffrement.

Dans son avertissement sur l’émergence de CTB-Locker for Websites, Lawrence Abrams, expert sur les menaces pour Internet et fondateur de BleepingComputer, a indiqué que les exploitants de ce malware compromettent les serveurs où sont hébergés les sites et substituent les fichiers index.php ou index.html.

« Le nouveau fichier index.php sert à chiffrer les données du site à l’aide d’une clé AES-256 et il affiche également une nouvelle page d’accueil qui explique la situation et la manière de payer la rançon » écrit Lawrence Abrams sur son blog.

CTB-Locker, très répandu en2014, n’est pas aussi rentable que TeslaCrypt, CryptoWall ou Locky. La version CTB-Locker for Websites a été détectée par un chercheur connu sous l’alias Benkow wokned : d’après les estimations de Lawrence Abrams, la nouvelle version du malware aurait déjà infecté plus d’une centaine de sites. Ceci étant dit, l’expert estime qu’il y a peu de chances pour que cette version de CTB-Locker soit aussi efficace que la version pour Windows : la sauvegarde est une pratique fréquente sur les sites et le site chiffré peut aisément être rétabli à l’aide de la copie de sauvegarde sans devoir payer la rançon.

La vulnérabilité exploitée par CTB-Locker for Websites n’a pas encore été identifiée. Lawrence Abrams pense que les individus malintentionnés attaquent des sites WordPress vulnérables. Le message qui apparaît sur le site infecté déclare ceci : « Vos scripts, documents, photos, bases de données et autres fichiers importants ont été chiffrés à l’aide d’un algorithme basé sur une clé AES-256 et une clé unique générée pour ce site. » Un point marquant est l’inclusion d’un lien vers une recommandation du FBI qui affirme « tout simplement de ne pas payer la rançon. »

A titre d’essai, la victime est invitée à choisir deux fichiers qui seront déchiffrés gratuitement. Les escrocs proposent également aux victimes de les contacter à l’aide d’un chat.

Citant l’enquête de Benkow wokned, Lawrence Abrams fournit des données sur les communications de CTB-Locker for Websites : la communication avec les serveurs de données et l’envoi des données s’opèrent via la fonction jQuery.post(). A l’heure actuelle, trois serveurs de commande de CTB-Locker for Websites ont été identifiés dans les domaines erdeni[.]ru, studiogreystar[.]com et a1hose[.]com.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *