Il y a quelques semaines, le monde de la sécurité était en émoi face au ransomware WannaCry. Mais dans son sillage, un bug dans Samba, une implémentation Open Source du protocole de partages de fichiers et d’imprimantes SMB/CIFS, bouleversait à son tour les serveurs Linux. « Toutes les versions de Samba à partir de la 3.5.0 sont vulnérables à une faille permettant l’exécution de code à distance. Ce qui permet à un client malveillant de télécharger une bibliothèque partagée dans un partage accessible en écriture, puis de le faire exécuter par le serveur », pouvait-on lire sur le site de Samba.
Un patch a été mis en place pour les moutures 4.6.4, 4.5.10 et 4.4.14, ainsi que pour les versions 3x. L’éditeur Rapid 7 indiquait avoir trouvé plus de 100 000 machines Linux accessibles via les ports 445 et 139 et exécutant une version de Samba vulnérable.
On pouvait s’attendre à un dérivé de WannaCry utilisant la faille dans Samba pour se propager. Mais les cybercriminels ont préféré l’utiliser à une fin toute aussi lucrative, indique les chercheurs de Kaspersky Lab. Au lieu d’installer un ransomware, les pirates ont mis en place un mineur de crypto-monnaie (nommé Eternalminer) capable de tirer profit de la puissance des serveurs Linux. La monnaie virtuelle générée est le monero, une alternative au bitcoin moins gourmande en calcul.
Le procédé semble avoir eu un succès d’estime avec 98 moneros (XMR), soit environ 5500 dollars en 1 mois. Mais pour Kaspersky, ce botnet augmente en gérant 5 XMR par jour contre 1 seul au début de son activité.
Cette histoire rappelle celle du malware Linux.Muldrop 14, ciblant les Raspberry Pi pour les forcer aussi à miner de la crypto-monnaie. Une fois installé, Linux.MulDrop.14 bloque plusieurs tâches et installe différentes librairies comme ZMap et sshpass. Le malware lance alors le processus de minage de crypto-monnaie et active ZMap pour scanner Internet à la recherche d’autres terminaux avec des ports SSH ouverts.
A lire aussi :
Sécurité : Linux attaquable sans une seule ligne de code
Une nouvelle formation dédiée à la sécurité pour les 25 ans de Linux
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.