Il y a quelques jours, on apprenait que des pirates avaient réussi à exploiter d’une autre manière deux failles auparavant corrigées par Microsoft dans plusieurs versions de SharePoint sur site. Les attaques ont commencé durant le week-end du 19 - 20 juillet.
Depuis, la campagne a pris de l’ampleur. Alors qu’aucun signe particulier ne pointait en direction d’une attaque coordonnée, on peut en effet parler de campagne. Selon les informations fournies par Microsoft et Eye Security, l’exploitation des failles est utilisée depuis plusieurs jours pour automatiser l’installation de rançongiciels. Contrairement aux attaques observées au départ, il ne s’agit donc plus de dérober des informations, mais de bloquer leur accès, à moins de payer une somme d’argent, sous forme le plus souvent de cryptoactifs.
Selon Eye Security, cité par Reuters, le chiffre serait désormais d’au moins 400 victimes. Un nombre sous-estimé selon la société de sécurité, car une partie des attaques ne laisse visiblement pas de traces exploitables, selon les vecteurs utilisés.
On sait également que le profil des cibles est devenu plus élevé. Toujours selon Reuters, qui cite le Washington Post, un représentant du National Institutes of Health américain a confirmé qu’au moins un des serveurs de l’organisme avait été compromis, et que d’autres avaient été « isolés par précaution ». Selon NextGov, le ministère américain de la Sécurité intérieure (DHS) a été touché, ainsi que cinq à douze autres agences gouvernementales. Une information qu’appuie Politico.
Selon Microsoft, une partie des attaques serait directement imputable à plusieurs groupes étatiques de pirates chinois : Linen Typhoon, Violet Typhoon et Storm-2603. L’objectif serait toujours le même, déployer le rançongiciel Warlock.
Les solutions proposées sont les mêmes que dans notre article originel : appliquer les correctifs aussi rapidement que possible et procéder au renouvellement des clés sur les serveurs, ainsi qu’un redémarrage. Microsoft avait fourni également une méthode pour automatiser la recherche des traces de compromission.
Auteur : Vincent Hermann
Aller à la source
