Le ransomware Sodin utilise les MSP

Ce ransomware exploite l’infrastructure des fournisseurs de services gérés ou la vulnérabilité d’Oracle WebLogic pour infecter et chiffrer les systèmes des victimes.

Fin mars, lorsque nous avons rédigé un article sur le ransomware GandCrab qui s’en prenait aux clients des MSP, nous nous doutions qu’il ne s’agirait pas d’un cas isolé. Les fournisseurs de services gérés sont une cible trop attrayante pour que les cybercriminels ne s’y intéressent pas.

Apparemment nous avions raison. En avril, le ransomware surnommé Sodin a attiré l’attention de nos experts. Il est différent des autres ransomwares puisqu’en plus d’utiliser les failles des systèmes de sécurité des MSP, il exploite une vulnérabilité de la plateforme Oracle WebLogic. Il est habituel qu’un ransomware exige l’implication de l’utilisateur (la victime reçoit un e-mail d’hameçonnage et doit lancer le fichier, par exemple) mais dans ce cas, l’utilisateur n’a pas à intervenir.

Nous vous invitons à lire l’article publié sur Securelist pour en savoir plus sur les détails techniques de ce ransomware. Pour nous, les moyens de distribution utilisés par ce malware sont l’aspect le plus intéressant.

Méthodes de distribution de Sodin

Les cybercriminels ont exploité la vulnérabilité CVE-2019-2725 pour distribuer le malware à travers WebLogic et exécuter l’ordre PowerShell sur le serveur vulnérable d’Oracle WebLogic. Cette action leur a permis de télécharger un injecteur sur le serveur qui a ensuite installé la charge utile : le ransomware Sodin. Ce bug a été corrigé fin avril mais une vulnérabilité similaire a été découverte fin juin : CVE-2019-2729.

Si on compare Sodin aux autres attaques qui utilisent les MSP, ce ransomware utilise d’autres méthodes pour accéder aux appareils des utilisateurs. Les utilisateurs d’au moins trois fournisseurs ont déjà été victimes de ce cheval de Troie. Selon l’article publié sur DarkReading, les cybercriminels ont parfois utilisé les outils d’accès à distance Webroot et Kaseya pour installer le cheval de Troie. Dans d’autres cas, comme l’explique ce texte publié sur Reddit, les malfaiteurs ont réussi à pénétrer dans l’infrastructure du MSP grâce à une connexion RDP, en augmentant le niveau des privilèges, en désactivant les solutions de sécurité et les sauvegardes puis en téléchargeant le ransomware sur les ordinateurs du client.

Ce que les fournisseurs de services devraient faire

Pour commencer, ils devraient prendre au sérieux le stockage des mots de passe qui permettent l’accès à distance et utiliser l’authentification à deux facteurs le plus souvent possible. Les consoles à distance de Kaseya et Webroot sont compatibles avec l’authentification à deux facteurs. De plus, à la suite de cet indicent, les développeurs commencent à rendre obligatoire son utilisation. Comme nous pouvons le constater, les cybercriminels qui ont distribué Sodin n’attendent pas de trouver par hasard une nouvelle opportunité. Ils cherchent délibérément plusieurs techniques leur permettant de distribuer un malware en exploitant les MSP. C’est pourquoi vous devez être particulièrement attentifs lorsque vous utilisez d’autres outils dans ce domaine. L’accès RDP, comme nous l’avons déjà dit plusieurs fois, ne devrait être utilisé qu’en dernier recours.

Les MSP, et surtout ceux qui proposent des services de cybersécurité, devraient se concentrer davantage sur la protection de leur infrastructure que sur celle de leurs clients. C’est exactement ce que Kaspersky offrent aux MSP pour qu’ils se protègent et défendent leurs clients.

Ce que les autres entreprises devraient faire

Il est évident que la mise à jour des logiciels est essentielle. Les malwares qui pénètrent dans votre infrastructure, en exploitant des vulnérabilités découvertes et corrigées depuis un certain temps, provoquent une situation gênante puisqu’ils révèlent une erreur spontanée.

Les entreprises qui utilisent Oracle WebLogic devraient d’abord se familiariser avec Oracle Security Alert Advisories pour en savoir plus sur les deux vulnérabilités : CVE-2019-2725 et CVE-2019-2729.

Il est aussi judicieux d’utiliser des solutions de sécurité de confiance équipées de sous-systèmes qui peuvent détecter les ransomwares et protéger les postes de travail.

Conseils