Site icon Sophos News

SmarterASP.NET : L’hébergeur du framework web open-source ASP.NET victime d’une attaque de ransomware

ransomware

SmarterASP.NET a été plutôt direct en informant ses clients de la situation :

Vos comptes d’hébergement ont été attaqués

Il ne s’agissait pas d’une paralysie partielle. Le fournisseur a informé ses nombreux clients que toutes les données avaient été chiffrées et qu’il travaillait avec des experts en sécurité pour tenter de les déchiffrer, et fera en sorte que “cela ne se reproduise plus”.

Ne nous envoyez plus d’emails, a demandé l’entreprise, précisant qu’elle en était déjà submergée (et c’est bien compréhensible !) et qu’elle ne disposait pas des ressources suffisantes pour répondre et traiter toutes les demandes. Elle a donc dirigé ses clients vers sa page Facebook pour qu’ils obtiennent des nouvelles de cet incident.

Ensuite, très rapidement, le fournisseur a déclaré qu’il avait entièrement restauré les services FTP et de configuration, même si, en consultant les commentaires laissés suite au message Facebook publié, il semblait que les serveurs, qui avaient été pris pour cible, renvoyaient toujours des messages d’erreur de type 503 Service Unavailable.

Dans cette publication, l’entreprise a averti ses clients de ne pas télécharger les fichiers chiffrés. “Si vous voyez toujours des fichiers chiffrés, patientez encore un peu, nous y sommes presque”, a déclaré SmarterASP.NET. Le malware a chiffré les comptes d’hébergement web de ses clients, à partir desquels ils accédaient aux serveurs qui contenaient, quant à eux, les fichiers et les données nécessaires à l’utilisation de leurs sites. Ainsi, ce ne sont pas seulement les clients de SmarterASP.NET qui ont perdu toutes leurs données : mais ce sont aussi leurs sites web qui ont été affectés.

Le site web de SmarterASP.NET a également été temporairement mis hors service par l’attaque, mais il semble qu’il aurait redémarré assez rapidement.

Un commentateur aurait, quant à lui, déclaré : tous mes fichiers ont l’extension .kjhbx … sont-ils toujours chiffrés ?

La réponse, du moins au moment où la question a été posée, était oui. Ce type d’extension est justement l’empreinte laissée par le passage du ransomware. SmarterASP.net a été touché par ce que ZDNet a identifié comme une variante du ransomware Snatch. La variante chiffre les fichiers avec une extension .kjhbx, comme le montrent les captures d’écran partagées sur Twitter, l’une d’entre elles étant la demande rançon, l’autre contenant une liste de fichiers chiffrés.

Deux heures après que l’entreprise ait publié son message Facebook concernant la restauration des services FTP et de configuration, elle a publié une mise à jour indiquant que la situation était à 95% revenue à la normale, avec néanmoins certains comptes affectés devant encore être déchiffrés. L’entreprise, quelque peu secouée par ce ransomware, a imploré ses clients de faire preuve d’un peu de patience :

Ils SERONT déchiffrés, alors ne vous inquiétez pas. Merci de ne plus nous envoyer de demandes.

Comment se protéger contre les ransomwares

Pouvez-vous être attaqué par le ransomware d’un tiers ?


Billet inspiré de ASP.NET hosting provider recovering from ransomware attack, sur Sophos nakedsecurity.

Exit mobile version