Log4Shell : le ransomware Khonsari s’attaque aux serveurs Minecraft

17 décembre 2021 à 17h10
5
Minecraft Windows

Microsoft a rapporté avoir vu des serveurs Minecraft vulnérables à Log4Shell être infectés avec le ransomware Khonsari.

Khonsari est une nouvelle famille de ransomwares dont les premières activités ont été découvertes par Bitdefender il y a quelques jours.

Possiblement un wiper déguisé en ransomware

Jusqu’à présent, la vulnérabilité critique Log4Shell avait été exploitée par des botnets ou pour déployer des mineurs de cryptomonnaies et des balises Cobalt Strike. Microsoft avait également indiqué l'avoir vue être utilisée dans des activités réalisées par des groupes de hackers liés à des États, comme la Chine, l’Iran, la Corée du Nord et la Turquie. Désormais, comme détecté par Bitdefender, un premier ransomware utilise Log4Shell pour infecter des systèmes vulnérables, Khonsari.

Cependant, ce ransomware reste encore assez mystérieux sur ses intentions réelles : si les fichiers sont bien chiffrés après l’infection et qu’une demande de rançon est bien présentée à la victime, il n’y a aucun moyen de contacter qui que ce soit pour payer la rançon. L’analyste d’Emsisoft Brett Callow a indiqué à BleepingComputer que le nom et les coordonnées utilisés par le ransomware étaient ceux d’un antiquaire en Louisiane. Certains le soupçonnent donc d’être en réalité un wiper.

Les serveurs Minecraft visés par plusieurs attaques

Le jeu Minecraft, dans sa version Java, est désormais visé par le ransomware Khonsari, a rapporté Microsoft. En particulier, les hackers chercheraient des serveurs hébergés par des utilisateurs ou des entreprises autres que Microsoft qui n’auraient pas été mis à jour et qui sont donc toujours vulnérables à Log4Shell. Pour rappel, exploiter Log4Shell sur Minecraft est d’une facilité déconcertante : il suffit d’une ligne dans le chat pour arriver à compromettre le serveur ainsi que les clients connectés. À l’aide de cette simple instruction, les attaquants récupèrent un payload sur leur serveur et l’exécutent sur le serveur vulnérable et les PC connectés, menant ici à une infection par le ransomware Khonsari.

D'autres attaques observées par Microsoft utilisent la même méthode du message dans le chat sur Minecraft pour déployer des reverse shells. De cette manière, les attaquants obtiennent un accès complet aux machines vulnérables et peuvent récupérer des identifiants pour se déplacer latéralement sur un réseau. Aucune autre activité n'a été détectée sur les ordinateurs compromis, mais l'entreprise prévient qu'il est possible que les accès obtenus soient utilisés plus tard.

Si vous hébergez un serveur Minecraft vous-même, il est donc nécessaire de faire au plus vite les mises à jour pour protéger votre système. Mojang a détaillé dans un article de blog sur Minecraft.net les étapes à suivre.

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (5)

hallbid
«&nbsp;Certains le soupçonnent donc d’être en réalité un wiper.&nbsp;»<br /> Mais encore ? C’est un pirate essuie glace ?
EVOTk
Définition de Wiper :<br /> Un « wiper » est un type de malware dont l’objectif est d’effacer (« to wipe » en anglais) les données du disque dur de l’ordinateur infecté.<br /> Source : Wikipedia<br /> Edit : impossible de joindre le lien vers la source … commentaire invalide …
hallbid
Merci pour l’explication <br /> En général les journalistes expliquent sommairement les termes encore peu connu.
TofVW
Tu ne connais pas ce wéhicule, la Chrysler Wiper ? C’est une woiture de sport pour rouler très wite !
salo86
Je crois que c’est plutôt la Dodge Wiper =)
TofVW
Ah oui c’est vrai… m****, ma blague est ratée ! Je me suis trompé car Dodge appartient à Chrysler.
Voir tous les messages sur le forum