Les intranets, nouvelle cible des cryptolocker

Il y a quelques jours (le 1er mars 2016), Kaspersky révélait qu’une nouvelle évolution de CTB-Locker (locky…) s’attaquait maintenant au serveur web…

[av_textblock size= » font_color= » color= »]
Il y a quelques jours (le 1er mars 2016), Kaspersky révélait qu’une nouvelle évolution de CTB-Locker (locky…) s’attaquait maintenant au serveur web : https://securelist.com/blog/research/73989/ctb-locker-is-back-the-web-server-edition/.
[/av_textblock]

[av_image src=’https://www.cyberprotect.fr/wp-content/uploads/2016/03/ctb_locker_en_2.png’ attachment=’5980′ attachment_size=’full’ align=’center’ styling= » hover= » link= » target= » caption= » font_size= » appearance= » overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size= » font_color= » color= »]
Ce « cryptolocker » cible plus particulièrement les sites en PHP (un des langages de programmation les plus utilisés pour la construction des sites dynamiques). Ce langage est utilisé dans bon nombre de blogs/CMS populaire (WordPress, Drupal…) ou de sites de e-commerce (Prestashop…).

CTB-Locker commence doucement mais sûrement à se déployer sur les sites dont les versions de PHP et/ou des CMS/e-commerce ne sont pas à jour. Mais pas uniquement. Il s’attaque également à des sites en PHP faits « sur-mesure » (les fameux, ceux qui vous protègent des failles de sécurité des CMS trop populaires. Ou pas).

Pourquoi ?

Simplement parce que la notion de sécurité du code n’est toujours pas entrée dans les mœurs ni côté développeur, ni côté cahier des charges du demandeur.

Mais ce n’est pas là que le bas blesse. Enfin pas seulement.
[/av_textblock]

[av_image src=’https://www.cyberprotect.fr/wp-content/uploads/2016/03/1333471770175134093.gif’ attachment=’5990′ attachment_size=’full’ align=’center’ styling= » hover= » link= » target= » caption= » font_size= » appearance= » overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size= » font_color= » color= »]
Quand nous pensons à site WEB, nous pensons immédiatement à des sites publics (visible par tout le monde), à notre site WEB Corporate, à notre blog personnel… Mais, nous oublions une partie importante des sites WEB : les intranets.

Ces intranets qui sont donc hébergés au sein des entreprises et ne sont visibles qu’à l’intérieur de l’entreprise, par les collaborateurs.

Nous retrouvons toutes sortes d’applications (souvent en PHP) : portail d’information, portail R.H et un ensemble d’applications métiers… Mais également des applications WEB de comptabilité, de notes de frais, de back-office logistique, des outils de support… Bref, les applications qui sont les outils au quotidien d’une entreprise.

Oui, ces applications peuvent être infectées par CTB-Locker. Pas directement par une attaque d’un internaute malveillant (vilain pirate) mais par une infection depuis un poste de travail (qui aura été lui-même infecté depuis un site tout à fait légitime : https://www.cyberprotect.fr/campagne-de-malvertising-retour-dexperience/ ).

Il est fort à parier que dans les semaines à venir les premiers cas de blocage d’intranet vont apparaître. Notre laboratoire Cyberprotect a déjà repéré des comportements à destination d’intranet de nos clients. Nos recommandations ont été appliquées par prévention.

Il est également certain que ces techniques de « cryptolockage » vont s’étendre à d’autres langages de programmation d’application WEB (ASP de Microsoft).

Car le cryptolocker est un logiciel malveillant permettant de générer beaucoup d’argent. Et qui dit argent…
[/av_textblock]

[av_image src=’https://www.cyberprotect.fr/wp-content/uploads/2016/03/tumblr_o1ufulUKfN1sbgqlgo1_500.gif’ attachment=’5988′ attachment_size=’full’ align=’center’ styling= » hover= » link= » target= » caption= » font_size= » appearance= » overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size= » font_color= » color= »]
Mikael MASSON – CTO – CERT Cyberprotect

Crédits images & Gif : Kaspersky, KeepItCult
[/av_textblock]

[av_social_share title=’Partager cet article’ style= » buttons= » share_facebook= » share_twitter= » share_pinterest= » share_gplus= » share_reddit= » share_linkedin= » share_tumblr= » share_vk= » share_mail= »][/av_social_share]

React