Il y a quelques semaines, le monde de la sécurité était en émoi face au ransomware WannaCry. Mais dans son sillage, un bug dans Samba, une implémentation Open Source du protocole de partages de fichiers et d’imprimantes SMB/CIFS, bouleversait à son tour les serveurs Linux. « Toutes les versions de Samba à partir de la 3.5.0 sont vulnérables à une faille permettant l’exécution de code à distance. Ce qui permet à un client malveillant de télécharger une bibliothèque partagée dans un partage accessible en écriture, puis de le faire exécuter par le serveur », pouvait-on lire sur le site de Samba.
Un patch a été mis en place pour les moutures 4.6.4, 4.5.10 et 4.4.14, ainsi que pour les versions 3x. L’éditeur Rapid 7 indiquait avoir trouvé plus de 100 000 machines Linux accessibles via les ports 445 et 139 et exécutant une version de Samba vulnérable.
On pouvait s’attendre à un dérivé de WannaCry utilisant la faille dans Samba pour se propager. Mais les cybercriminels ont préféré l’utiliser à une fin toute aussi lucrative, indique les chercheurs de Kaspersky Lab. Au lieu d’installer un ransomware, les pirates ont mis en place un mineur de crypto-monnaie (nommé Eternalminer) capable de tirer profit de la puissance des serveurs Linux. La monnaie virtuelle générée est le monero, une alternative au bitcoin moins gourmande en calcul.
Le procédé semble avoir eu un succès d’estime avec 98 moneros (XMR), soit environ 5500 dollars en 1 mois. Mais pour Kaspersky, ce botnet augmente en gérant 5 XMR par jour contre 1 seul au début de son activité.
Cette histoire rappelle celle du malware Linux.Muldrop 14, ciblant les Raspberry Pi pour les forcer aussi à miner de la crypto-monnaie. Une fois installé, Linux.MulDrop.14 bloque plusieurs tâches et installe différentes librairies comme ZMap et sshpass. Le malware lance alors le processus de minage de crypto-monnaie et active ZMap pour scanner Internet à la recherche d’autres terminaux avec des ports SSH ouverts.
A lire aussi :
Sécurité : Linux attaquable sans une seule ligne de code
Une nouvelle formation dédiée à la sécurité pour les 25 ans de Linux
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…