Les serveurs Linux forcés à miner de la crypto-monnaie grâce à Samba

Jacques Cheminat,

Le bug dans Samba découvert dans le sillage de WannaCry enrôle des serveurs Linux pour les forcer à miner des crypto-monnaies.

Il y a quelques semaines, le monde de la sécurité était en émoi face au ransomware WannaCry. Mais dans son sillage, un bug dans Samba, une implémentation Open Source du protocole de partages de fichiers et d’imprimantes SMB/CIFS, bouleversait à son tour les serveurs Linux. « Toutes les versions de Samba à partir de la 3.5.0 sont vulnérables à une faille permettant l’exécution de code à distance. Ce qui permet à un client malveillant de télécharger une bibliothèque partagée dans un partage accessible en écriture, puis de le faire exécuter par le serveur », pouvait-on lire sur le site de Samba.

Un patch a été mis en place pour les moutures 4.6.4, 4.5.10 et 4.4.14, ainsi que pour les versions 3x. L’éditeur Rapid 7 indiquait avoir trouvé plus de 100 000 machines Linux accessibles via les ports 445 et 139 et exécutant une version de Samba vulnérable.

Un mineur de crypto-monnaie nommé Eternalminer

On pouvait s’attendre à un dérivé de WannaCry utilisant la faille dans Samba pour se propager. Mais les cybercriminels ont préféré l’utiliser à une fin toute aussi lucrative, indique les chercheurs de Kaspersky Lab. Au lieu d’installer un ransomware, les pirates ont mis en place un mineur de crypto-monnaie (nommé Eternalminer) capable de tirer profit de la puissance des serveurs Linux. La monnaie virtuelle générée est le monero, une alternative au bitcoin moins gourmande en calcul.

Le procédé semble avoir eu un succès d’estime avec 98 moneros (XMR), soit environ 5500 dollars en 1 mois. Mais pour Kaspersky, ce botnet augmente en gérant 5 XMR par jour contre 1 seul au début de son activité.

Cette histoire rappelle celle du malware Linux.Muldrop 14, ciblant les Raspberry Pi pour les forcer aussi à miner de la crypto-monnaie. Une fois installé, Linux.MulDrop.14 bloque plusieurs tâches et installe différentes librairies comme ZMap et sshpass. Le malware lance alors le processus de minage de crypto-monnaie et active ZMap pour scanner Internet à la recherche d’autres terminaux avec des ports SSH ouverts.

A lire aussi :

Sécurité : Linux attaquable sans une seule ligne de code

Une nouvelle formation dédiée à la sécurité pour les 25 ans de Linux

crédit image : werner22brigitte via Pixabay