SmarterASP.NET : L’hébergeur du framework web open-source ASP.NET victime d’une attaque de ransomware

Ransomwares

SmarterASP.NET, un fournisseur hébergeant le framework web open-source ASP.NET de Microsoft, et comptant plus de 440 000 clients, a récemment été victime d’une attaque de ransomware.

ransomware

SmarterASP.NET a été plutôt direct en informant ses clients de la situation :

Vos comptes d’hébergement ont été attaqués

Il ne s’agissait pas d’une paralysie partielle. Le fournisseur a informé ses nombreux clients que toutes les données avaient été chiffrées et qu’il travaillait avec des experts en sécurité pour tenter de les déchiffrer, et fera en sorte que “cela ne se reproduise plus”.

Ne nous envoyez plus d’emails, a demandé l’entreprise, précisant qu’elle en était déjà submergée (et c’est bien compréhensible !) et qu’elle ne disposait pas des ressources suffisantes pour répondre et traiter toutes les demandes. Elle a donc dirigé ses clients vers sa page Facebook pour qu’ils obtiennent des nouvelles de cet incident.

Ensuite, très rapidement, le fournisseur a déclaré qu’il avait entièrement restauré les services FTP et de configuration, même si, en consultant les commentaires laissés suite au message Facebook publié, il semblait que les serveurs, qui avaient été pris pour cible, renvoyaient toujours des messages d’erreur de type 503 Service Unavailable.

Dans cette publication, l’entreprise a averti ses clients de ne pas télécharger les fichiers chiffrés. “Si vous voyez toujours des fichiers chiffrés, patientez encore un peu, nous y sommes presque”, a déclaré SmarterASP.NET. Le malware a chiffré les comptes d’hébergement web de ses clients, à partir desquels ils accédaient aux serveurs qui contenaient, quant à eux, les fichiers et les données nécessaires à l’utilisation de leurs sites. Ainsi, ce ne sont pas seulement les clients de SmarterASP.NET qui ont perdu toutes leurs données : mais ce sont aussi leurs sites web qui ont été affectés.

Le site web de SmarterASP.NET a également été temporairement mis hors service par l’attaque, mais il semble qu’il aurait redémarré assez rapidement.

Un commentateur aurait, quant à lui, déclaré : tous mes fichiers ont l’extension .kjhbx … sont-ils toujours chiffrés ?

La réponse, du moins au moment où la question a été posée, était oui. Ce type d’extension est justement l’empreinte laissée par le passage du ransomware. SmarterASP.net a été touché par ce que ZDNet a identifié comme une variante du ransomware Snatch. La variante chiffre les fichiers avec une extension .kjhbx, comme le montrent les captures d’écran partagées sur Twitter, l’une d’entre elles étant la demande rançon, l’autre contenant une liste de fichiers chiffrés.

Deux heures après que l’entreprise ait publié son message Facebook concernant la restauration des services FTP et de configuration, elle a publié une mise à jour indiquant que la situation était à 95% revenue à la normale, avec néanmoins certains comptes affectés devant encore être déchiffrés. L’entreprise, quelque peu secouée par ce ransomware, a imploré ses clients de faire preuve d’un peu de patience :

Ils SERONT déchiffrés, alors ne vous inquiétez pas. Merci de ne plus nous envoyer de demandes.

Comment se protéger contre les ransomwares

  • Choisissez des mots de passe forts, et ne réutilisez jamais ces derniers.
  • Faites des sauvegardes régulières. Elles pourraient bien être votre dernière ligne de défense contre une demande de rançon à six chiffres. Veillez à les garder hors site, à un endroit où les attaquants ne pourront pas les trouver.
  • Patchez tôt, patchez souvent. Des ransomwares comme WannaCry et NotPetya s’appuient sur des vulnérabilités non corrigées pour se répandre dans le monde entier.
  • Verrouillez le RDP. Des gangs cybercriminels exploitent des identifiants RDP faibles pour lancer des attaques ciblées de ransomware. Désactivez le RDP si vous n’en avez pas besoin et utilisez le limiteur de débit, le 2FA ou un VPN si vous en avez la possibilité.
  • Utilisez une protection anti-ransomware. Sophos Intercept X et XG Firewall sont conçus pour fonctionner main dans la main afin de lutter contre les ransomwares et leurs effets dévastateurs. Les particuliers peuvent se protéger avec Sophos Home.

Pouvez-vous être attaqué par le ransomware d’un tiers ?


Billet inspiré de ASP.NET hosting provider recovering from ransomware attack, sur Sophos nakedsecurity.

Leave a Reply

Your email address will not be published.