Log4Shell : le ransomware Khonsari s’attaque aux serveurs Minecraft

17 décembre 2021 à 17h10
5
Minecraft Windows

Microsoft a rapporté avoir vu des serveurs Minecraft vulnérables à Log4Shell être infectés avec le ransomware Khonsari.

Khonsari est une nouvelle famille de ransomwares dont les premières activités ont été découvertes par Bitdefender il y a quelques jours.

Possiblement un wiper déguisé en ransomware

Jusqu’à présent, la vulnérabilité critique Log4Shell avait été exploitée par des botnets ou pour déployer des mineurs de cryptomonnaies et des balises Cobalt Strike. Microsoft avait également indiqué l'avoir vue être utilisée dans des activités réalisées par des groupes de hackers liés à des États, comme la Chine, l’Iran, la Corée du Nord et la Turquie. Désormais, comme détecté par Bitdefender, un premier ransomware utilise Log4Shell pour infecter des systèmes vulnérables, Khonsari.

Cependant, ce ransomware reste encore assez mystérieux sur ses intentions réelles : si les fichiers sont bien chiffrés après l’infection et qu’une demande de rançon est bien présentée à la victime, il n’y a aucun moyen de contacter qui que ce soit pour payer la rançon. L’analyste d’Emsisoft Brett Callow a indiqué à BleepingComputer que le nom et les coordonnées utilisés par le ransomware étaient ceux d’un antiquaire en Louisiane. Certains le soupçonnent donc d’être en réalité un wiper.

Les serveurs Minecraft visés par plusieurs attaques

Le jeu Minecraft, dans sa version Java, est désormais visé par le ransomware Khonsari, a rapporté Microsoft. En particulier, les hackers chercheraient des serveurs hébergés par des utilisateurs ou des entreprises autres que Microsoft qui n’auraient pas été mis à jour et qui sont donc toujours vulnérables à Log4Shell. Pour rappel, exploiter Log4Shell sur Minecraft est d’une facilité déconcertante : il suffit d’une ligne dans le chat pour arriver à compromettre le serveur ainsi que les clients connectés. À l’aide de cette simple instruction, les attaquants récupèrent un payload sur leur serveur et l’exécutent sur le serveur vulnérable et les PC connectés, menant ici à une infection par le ransomware Khonsari.

D'autres attaques observées par Microsoft utilisent la même méthode du message dans le chat sur Minecraft pour déployer des reverse shells. De cette manière, les attaquants obtiennent un accès complet aux machines vulnérables et peuvent récupérer des identifiants pour se déplacer latéralement sur un réseau. Aucune autre activité n'a été détectée sur les ordinateurs compromis, mais l'entreprise prévient qu'il est possible que les accès obtenus soient utilisés plus tard.

Si vous hébergez un serveur Minecraft vous-même, il est donc nécessaire de faire au plus vite les mises à jour pour protéger votre système. Mojang a détaillé dans un article de blog sur Minecraft.net les étapes à suivre.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
5
hallbid
«&nbsp;Certains le soupçonnent donc d’être en réalité un wiper.&nbsp;»<br /> Mais encore ? C’est un pirate essuie glace ?
EVOTk
Définition de Wiper :<br /> Un « wiper » est un type de malware dont l’objectif est d’effacer (« to wipe » en anglais) les données du disque dur de l’ordinateur infecté.<br /> Source : Wikipedia<br /> Edit : impossible de joindre le lien vers la source … commentaire invalide …
hallbid
Merci pour l’explication <br /> En général les journalistes expliquent sommairement les termes encore peu connu.
TofVW
Tu ne connais pas ce wéhicule, la Chrysler Wiper ? C’est une woiture de sport pour rouler très wite !
salo86
Je crois que c’est plutôt la Dodge Wiper =)
TofVW
Ah oui c’est vrai… m****, ma blague est ratée ! Je me suis trompé car Dodge appartient à Chrysler.
Voir tous les messages sur le forum

Derniers actualités

Moins de 30€, c'est l'offre du moment sur les écouteurs sans fil de chez OPPO !
Voilà à quoi devrait ressembler le Pixel 7a, nouvelle version accessible du smartphone signé Google
Véhicules électriques : pourquoi Tesla perd des parts de marché aux États-Unis ?
Fnac vous offre une manette à l'achat d'une Xbox Series S bardée de bonus
OnePlus et mises à jour : le fabricant aurait-il enfin entendu ses clients ?
Galaxy S23 : ça y est, on sait quand Samsung va dégainer !
Enfin un site pour obtenir plus rapidement votre nouveau passeport ou carte d'identité !
Promo folle sur le SSD 2,5
Un iPhone XR neuf à moins de 10€ ? C'est possible avec ce forfait 100 Go
Avec cette ODR, l'OPPO Reno 8 Lite est à moins de 370€ !
Haut de page