{"id":11924,"date":"2019-07-08T13:44:33","date_gmt":"2019-07-08T13:44:33","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11924"},"modified":"2019-11-22T08:48:56","modified_gmt":"2019-11-22T08:48:56","slug":"sodin-msp-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/sodin-msp-ransomware\/11924\/","title":{"rendered":"Le ransomware Sodin utilise les MSP"},"content":{"rendered":"

Fin mars, lorsque nous avons r\u00e9dig\u00e9<\/a> un article sur le ransomware GandCrab qui s\u2019en prenait aux clients des MSP, nous nous doutions qu\u2019il ne s\u2019agirait pas d\u2019un cas isol\u00e9. Les fournisseurs de services g\u00e9r\u00e9s sont une cible trop attrayante pour que les cybercriminels ne s\u2019y int\u00e9ressent pas.<\/p>\n

Apparemment nous avions raison. En avril, le ransomware surnomm\u00e9 Sodin a attir\u00e9 l\u2019attention de nos experts. Il est diff\u00e9rent des autres ransomwares puisqu\u2019en plus d\u2019utiliser les failles des syst\u00e8mes de s\u00e9curit\u00e9 des MSP, il exploite une vuln\u00e9rabilit\u00e9 de la plateforme Oracle WebLogic. Il est habituel qu\u2019un ransomware exige l\u2019implication de l\u2019utilisateur (la victime re\u00e7oit un e-mail d\u2019hame\u00e7onnage et doit lancer le fichier, par exemple) mais dans ce cas, l\u2019utilisateur n\u2019a pas \u00e0 intervenir.<\/p>\n

Nous vous invitons \u00e0 lire l\u2019article publi\u00e9 sur Securelist<\/a> pour en savoir plus sur les d\u00e9tails techniques de ce ransomware. Pour nous, les moyens de distribution utilis\u00e9s par ce malware sont l\u2019aspect le plus int\u00e9ressant.<\/p>\n

M\u00e9thodes de distribution de Sodin<\/h2>\n

Les cybercriminels ont exploit\u00e9 la vuln\u00e9rabilit\u00e9 CVE-2019-2725 pour distribuer le malware \u00e0 travers WebLogic<\/a> et ex\u00e9cuter l\u2019ordre PowerShell sur le serveur vuln\u00e9rable d\u2019Oracle WebLogic. Cette action leur a permis de t\u00e9l\u00e9charger un injecteur sur le serveur qui a ensuite install\u00e9 la charge utile\u00a0: le ransomware Sodin. Ce bug a \u00e9t\u00e9 corrig\u00e9 fin avril mais une vuln\u00e9rabilit\u00e9 similaire a \u00e9t\u00e9 d\u00e9couverte fin juin\u00a0: CVE-2019-2729.<\/p>\n

Si on compare Sodin aux autres attaques qui utilisent les MSP, ce ransomware utilise d\u2019autres m\u00e9thodes pour acc\u00e9der aux appareils des utilisateurs. Les utilisateurs d\u2019au moins trois fournisseurs ont d\u00e9j\u00e0 \u00e9t\u00e9 victimes de ce cheval de Troie. Selon l\u2019article publi\u00e9 sur DarkReading<\/a>, les cybercriminels ont parfois utilis\u00e9 les outils d\u2019acc\u00e8s \u00e0 distance Webroot et Kaseya pour installer le cheval de Troie. Dans d\u2019autres cas, comme l\u2019explique ce texte publi\u00e9 sur Reddit<\/a>, les malfaiteurs ont r\u00e9ussi \u00e0 p\u00e9n\u00e9trer dans l\u2019infrastructure du MSP gr\u00e2ce \u00e0 une connexion RDP, en augmentant le niveau des privil\u00e8ges, en d\u00e9sactivant les solutions de s\u00e9curit\u00e9 et les sauvegardes puis en t\u00e9l\u00e9chargeant le ransomware sur les ordinateurs du client.<\/p>\n

Ce que les fournisseurs de services devraient faire<\/h2>\n

Pour commencer, ils devraient prendre au s\u00e9rieux le stockage des mots de passe qui permettent l\u2019acc\u00e8s \u00e0 distance et utiliser l\u2019authentification \u00e0 deux facteurs le plus souvent possible. Les consoles \u00e0 distance de Kaseya et Webroot sont compatibles avec l\u2019authentification \u00e0 deux facteurs. De plus, \u00e0 la suite de cet indicent, les d\u00e9veloppeurs commencent \u00e0 rendre obligatoire son utilisation. Comme nous pouvons le constater, les cybercriminels qui ont distribu\u00e9 Sodin n\u2019attendent pas de trouver par hasard une nouvelle opportunit\u00e9. Ils cherchent d\u00e9lib\u00e9r\u00e9ment plusieurs techniques leur permettant de distribuer un malware en exploitant les MSP. C\u2019est pourquoi vous devez \u00eatre particuli\u00e8rement attentifs lorsque vous utilisez d\u2019autres outils dans ce domaine. L\u2019acc\u00e8s RDP, comme nous l\u2019avons d\u00e9j\u00e0 dit plusieurs fois, ne devrait \u00eatre utilis\u00e9 qu\u2019en dernier recours.<\/p>\n

Les MSP, et surtout ceux qui proposent des services de cybers\u00e9curit\u00e9, devraient se concentrer davantage sur la protection de leur infrastructure que sur celle de leurs clients. C\u2019est exactement ce que Kaspersky offrent aux MSP pour qu\u2019ils se prot\u00e8gent<\/a> et d\u00e9fendent leurs clients.<\/p>\n

Ce que les autres entreprises devraient faire<\/h2>\n

Il est \u00e9vident que la mise \u00e0 jour des logiciels est essentielle. Les malwares qui p\u00e9n\u00e8trent dans votre infrastructure, en exploitant des vuln\u00e9rabilit\u00e9s d\u00e9couvertes et corrig\u00e9es depuis un certain temps, provoquent une situation g\u00eanante puisqu\u2019ils r\u00e9v\u00e8lent une erreur spontan\u00e9e.<\/p>\n

Les entreprises qui utilisent Oracle WebLogic devraient d\u2019abord se familiariser avec Oracle Security Alert Advisories pour en savoir plus sur les deux vuln\u00e9rabilit\u00e9s\u00a0: CVE-2019-2725<\/a> et CVE-2019-2729<\/a>.<\/p>\n

Il est aussi judicieux d\u2019utiliser des solutions de s\u00e9curit\u00e9 de confiance \u00e9quip\u00e9es de sous-syst\u00e8mes qui peuvent d\u00e9tecter les ransomwares et prot\u00e9ger les postes de travail.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Ce ransomware exploite l\u2019infrastructure des fournisseurs de services g\u00e9r\u00e9s ou la vuln\u00e9rabilit\u00e9 d\u2019Oracle WebLogic pour infecter et chiffrer les syst\u00e8mes des victimes.<\/p>\n","protected":false},"author":2506,"featured_media":11925,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3151],"tags":[3562,2279,353,2914,3560,3561],"class_list":{"0":"post-11924","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-kaseya","10":"tag-msp","11":"tag-ransomware","12":"tag-rdp","13":"tag-sodin","14":"tag-weblogic"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sodin-msp-ransomware\/11924\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sodin-msp-ransomware\/16108\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sodin-msp-ransomware\/13616\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sodin-msp-ransomware\/18005\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sodin-msp-ransomware\/16142\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sodin-msp-ransomware\/14883\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sodin-msp-ransomware\/18805\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sodin-msp-ransomware\/17561\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sodin-msp-ransomware\/23051\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/sodin-msp-ransomware\/6113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sodin-msp-ransomware\/27530\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sodin-msp-ransomware\/12167\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/sodin-msp-ransomware\/10922\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sodin-msp-ransomware\/19677\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sodin-msp-ransomware\/23581\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sodin-msp-ransomware\/18638\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sodin-msp-ransomware\/22925\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sodin-msp-ransomware\/22866\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11924","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2506"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=11924"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11924\/revisions"}],"predecessor-version":[{"id":12646,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11924\/revisions\/12646"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/11925"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=11924"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=11924"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=11924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}