Une nouvelle souche de ransomware, nommée WantToCry, fait son apparition dans le paysage cybercriminel. Contrairement à son homonyme tristement célèbre WannaCry, cette variante ne profite pas d'une vulnérabilité Windows mais cible principalement les serveurs Linux, en particulier ceux exécutant des partages Samba (SMB) exposés sur internet. Les victimes voient leurs fichiers chiffrés et renommés avec l'extension .want_to_cry, tandis qu'une note de rançon nommée !want_to_cry.txt est déposée.
Mode opératoire et caractéristiques techniques
WantToCry opère en scannant internet à la recherche de serveurs SMB mal sécurisés. Les attaquants exploitent des mots de passe faibles ou des vulnérabilités non patchées pour obtenir un accès. Une fois à l'intérieur, le ransomware parcourt les répertoires partagés et chiffre une large gamme de fichiers. L'algorithme de chiffrement utilisé est robuste, rendant la récupération sans clé quasi impossible.
La note de rançon et les demandes de paiement
La note de rançon, souvent corrompue par des caractères non imprimables, ordonne aux victimes de contacter les pirates via le réseau de messagerie Tox. Ils demandent une rançon initiale de 300 dollars en Bitcoin, bien que des montants variables (jusqu'à 1060 dollars) aient été rapportés, suggérant une tarification adaptée. Les victimes doivent envoyer trois fichiers de test pour prouver la capacité de déchiffrement des attaquants avant le paiement.
Vecteurs d'attaque : au-delà du SMB faible
Si l'accès SMB est le vecteur principal, les discussions entre experts sur BleepingComputer évoquent d'autres possibilités. L'infection pourrait provenir d'un logiciel malveillant téléchargé sur une machine Windows au sein du réseau, qui propage ensuite le ransomware vers les lecteurs réseau mappés, y compris les NAS (Network Attached Storage). Des faux installateurs de logiciels (comme Zoom) ou des vulnérabilités dans des applications comme Steam sont également mentionnés comme portes d'entrée potentielles.
Le défi du déchiffrement et l'absence d'outil
À ce jour, aucun outil de déchiffrement public n'est disponible pour WantToCry. Les plateformes d'identification comme ID-Ransomware et le projet NoMoreRansom ne reconnaissent pas encore cette souche. Les experts en malware analysent les échantillons fournis par les victimes sur les forums, mais la complexité du chiffrement laisse peu d'espoir pour une solution rapide et gratuite.
Recommandations pour la prévention et la réponse
Pour les administrateurs de serveurs Linux et NAS, la prévention est cruciale. Les mesures immédiates incluent : le renforcement des mots de passe SMB, la mise en œuvre de fail2ban pour bloquer les tentatives de force brute, la désactivation de SMB lorsqu'il n'est pas indispensable, et la mise à jour régulière de tous les logiciels. Une stratégie de sauvegarde robuste (règle 3-2-1), avec des copies hors ligne et hors site, reste la défense ultime.
Que faire en cas d'infection ?
Les victimes sont conseillées de ne pas payer la rançon, car cela finance les activités criminelles et ne garantit pas la récupération des fichiers. Il est recommandé d'isoler immédiatement le système compromis du réseau, de préserver une copie des fichiers chiffrés et de la note de rançon pour analyse, et de signaler l'incident aux autorités. Une réinstallation complète du système est souvent nécessaire pour éliminer toute porte dérobée.
L'émergence de WantToCry rappelle que les serveurs Linux, souvent perçus comme plus sûrs, sont des cibles de plus en plus attractives pour les rançongiciels. Cette menace souligne l'importance critique d'une hygiène de sécurité rigoureuse pour tous les systèmes connectés au réseau, quels que soient leur système d'exploitation ou leur rôle. La collaboration entre victimes et chercheurs, comme visible sur BleepingComputer, est essentielle pour comprendre et, espérons-le, un jour contrer cette nouvelle menace.