Erebus, le ransomware qui a couté plus d’un million d’euros à un hébergeur

Environ 1,45 M€. C’est la somme que l’hébergeur sud-coréen Nayana a déboursée pour obtenir le déchiffrement de fichiers pris en otage sur ses serveurs. Il en exploite plus de 150, sous Linux, et héberge plus de 3 400 sites Web. Une façon de reprendre l’activité rapidement ? Que nenni.

C’est le 10 juin dernier que Nayana a découvert être la cible d’une attaque par ransomware, avec une demande de rien moins que 10 bitcoins par serveur affecté. La négociation a permis de ramener le montant demandé à 5,4 bitcoins par machine, payables avant le 14 juin à 23h59.

Le 18 juin, Nayana détaillait la chronologie de reprise d’activité : copie des données chiffrées et déchiffrement sur une machine sous Windows Server 2012, à raison de deux à 5 jours pour chaque serveur ; sauvegarde des données récupérées et configuration de l’environnement pour reprise du service, soit 1 à 2 jours de plus ; et enfin vérification d’intégrité pour éviter une seconde inspection, sur un à deux jours supplémentaires. Mais ces délais, qui n’ont rien de négligeables, ne seront pas respectés.

Dans un message de ce mardi 20 juin, Nayana prévient ses clients : « certains serveurs prendront plus de 10 jours » ne serait-ce que pour la première phase, le déchiffrement des données. La durée de la seconde phase est quant à elle désormais estimée à 2 à 5 jours. L’hébergeur cherche aujourd’hui à atteindre 30 % de rétablissement de son environnement d’ici la fin de cette semaine, et 90 % d’ici la fin de la prochaine.

Nayana a été victime d’Erebus, un rançongiciel visant les systèmes Linux. Dans un billet de blog, Trend Micro estime que celui-ci a initialement été observé en septembre dernier. Et d’explorer les possibles vecteurs d’attaque. L’éditeur relève en particulier que le site Web de Nayana fonctionne sur un noyau Linux 2.6.24.2, remontant à 2008, mais également Apache 1.3.36 et PHP 5.1.4 datant quant à eux de 2006.

Dans son billet, Trend Micro souligne que « malgré leur part de marché, les systèmes d’exploitation Unix ou Unix-like comme Linux sont appelés à être lucratifs pour les méchants, alors que les ransomwares continuent de se diversifier et de murir ». Et cela pour une raison toute simple : « ils sont omniprésents dans les infrastructures qui animent beaucoup d’entreprises ».