Il y a quelques semaines, le monde de la sécurité était en émoi face au ransomware WannaCry. Mais dans son sillage, un bug dans Samba, une implémentation Open Source du protocole de partages de fichiers et d’imprimantes SMB/CIFS, bouleversait à son tour les serveurs Linux. « Toutes les versions de Samba à partir de la 3.5.0 sont vulnérables à une faille permettant l’exécution de code à distance. Ce qui permet à un client malveillant de télécharger une bibliothèque partagée dans un partage accessible en écriture, puis de le faire exécuter par le serveur », pouvait-on lire sur le site de Samba.
Un patch a été mis en place pour les moutures 4.6.4, 4.5.10 et 4.4.14, ainsi que pour les versions 3x. L’éditeur Rapid 7 indiquait avoir trouvé plus de 100 000 machines Linux accessibles via les ports 445 et 139 et exécutant une version de Samba vulnérable.
On pouvait s’attendre à un dérivé de WannaCry utilisant la faille dans Samba pour se propager. Mais les cybercriminels ont préféré l’utiliser à une fin toute aussi lucrative, indique les chercheurs de Kaspersky Lab. Au lieu d’installer un ransomware, les pirates ont mis en place un mineur de crypto-monnaie (nommé Eternalminer) capable de tirer profit de la puissance des serveurs Linux. La monnaie virtuelle générée est le monero, une alternative au bitcoin moins gourmande en calcul.
Le procédé semble avoir eu un succès d’estime avec 98 moneros (XMR), soit environ 5500 dollars en 1 mois. Mais pour Kaspersky, ce botnet augmente en gérant 5 XMR par jour contre 1 seul au début de son activité.
Cette histoire rappelle celle du malware Linux.Muldrop 14, ciblant les Raspberry Pi pour les forcer aussi à miner de la crypto-monnaie. Une fois installé, Linux.MulDrop.14 bloque plusieurs tâches et installe différentes librairies comme ZMap et sshpass. Le malware lance alors le processus de minage de crypto-monnaie et active ZMap pour scanner Internet à la recherche d’autres terminaux avec des ports SSH ouverts.
A lire aussi :
Sécurité : Linux attaquable sans une seule ligne de code
Une nouvelle formation dédiée à la sécurité pour les 25 ans de Linux
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.