Bitdefender a confirmé des attaques réussies visant à intégrer des cryptomonnaies ainsi que des tentatives d’attaques visant à déposer des ransomwares.
Le spécialiste en cybersécurité indique ce mardi 14 décembre que les attaquants tentent de déployer Khonsari, une nouvelle famille de ransomware, pour cibler les systèmes exécutant le système d’exploitation Windows. Jusqu’à présent, les premières attaques ont, pour la plupart, visé des serveurs Linux, fait-il remarquer.
Trojan d’accès à distance et shells bash inversés
Les attaquants tentent également d’utiliser cette vulnérabilité pour déployer le Trojan d’accès à distance (RAT) Orcus. “Au cours de l’attaque, on tente de télécharger le shellcode depuis hxxp://test.verble.rocks/dorflersaladreviews.bin.encrypted et de l’injecter dans la mémoire du processus conhost.exe. Le shellcode décrypte et charge en mémoire une autre charge utile malveillante, qui semble être Orcus se connectant au serveur de commande et de contrôle de test.verble[.]rocks », explique le spécialiste.
Les attaquants tentent d’utiliser des shells bash inversés. Cette technique est utilisée pour prendre pied dans les systèmes en vue d’une exploitation ultérieure. “Le déploiement d’un reverse shell sur ces serveurs vulnérables est relativement simple à réaliser et sera très probablement suivi d’une attaque à grande échelle à un moment donné », prévient Birdefender.
Le botnet Muhstik à l’oeuvre
Bitdefender constate également que plusieurs réseaux de botnets exploitent déjà cette vulnérabilité. Ces derniers ciblent les serveurs pour déployer des backdoors et étendre leur réseau de botnets. Plus précisément, les experts de Bitdefender ont identifié le botnet Muhstik comme l’un des premiers à l’adopter. Pour les opérateurs de botnets, le déploiement à grande échelle est essentiel pour réussir. La surveillance de l’activité des botnets est souvent un bon moyen de prédire la dangerosité réelle d’un nouveau RCE et l’ampleur potentielle des attaques.
Le directeur général de l’Anssi a confirmé en milieu de journée qu’il n’avait pas eu connaissance d’utilisation avérée pour des attaques plus dangereuses, pour du ransomware ou du vol de données par exemple. Mais « j’ai peur qu’en creusant (…) on se rende compte de conséquences qui peuvent être relativement graves » , a-t-il indiqué.