Les utilisateurs de NextCloud sont visés par une campagne de ransomware baptisé NextCry. Signalée sur les forums de Bleepingcomputer, la campagne propage un ransomware qui chiffre les instances Nextcloud. Comme l’explique BleepingComputer, le ransomware utilisé par les attaquants n’est apparemment pas issu d’une souche connue est n’est donc pas détecté par les programmes antivirus. De la même façon, aucun decrypteur n’est disponible pour récupérer les fichiers chiffrés par le malware.
Le script utilisé par les attaquants montre que le logiciel malveillant est conçu pour s’attaquer spécifiquement aux instances NextCloud : au lancement, il identifie les fichiers de l’utilisateur en regardant le fichier config.php, puis supprime les fichiers de sauvegarde avant de chiffrer les fichiers présents sur l’instance. La note de rançon apparaît ensuite, indiquant que les fichiers ont été chiffrés à ‘laide de l’algorithme AES 256 bit et demande le paiement d’une rançon en bitcoin, d’environ 182 euros (0,025btc)
publicité
Les attaquants exploitent une faille connue
Selon NextCloud, les attaquants exploitent une faille connue présente au sein des serveurs NGINX. Le 24 octobre, l’équipe de NextCloud avait alerté les utilisateurs sur les risques liés à cette vulnérabilité, qui affecte les serveurs NGINX Nextcloud dans leur configuration par défaut. Cette vulnérabilité, immatriculée CVE-2019-11043, affecte le composant PHP-FPM. Un exploit est disponible sur le web et celui-ci a déjà été utilisé par des attaquants pour diffuser des logiciels malveillants. La vulnérabilité permet de prendre le contrôle de la machine ciblée.
Pour éviter le problème, la solution est donc de mettre à jour PHP vers les versions 7.3.11 ou 7.2.24 qui contiennent le correctif pour la faille de sécurité exploitée par les attaquants.
NextCloud est un logiciel libre qui propose une solution de cloud privé et d’hébergement de fichier. Le projet est un fork du projet OwnCloud et a notamment été retenu en France par le ministère de l’Intérieur afin de mettre une solution de cloud privé à disposition de ses employés.
Comments