LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les hackers s'en prennent désormais aux Data Centers avec des malwares écrits en Java. Ces maliciels d'un genre nouveau ne sont pas détectés par les logiciels antivirus, et sont donc particulièrement redoutables.
Selon le Department of Homeland Security des États-Unis, les cybercriminels prennent désormais les Data Centers pour cible. Leurs attaques à distance sont particulièrement redoutables, car il est impossible de résoudre le problème via un simple backup pour restaurer les données. Le niveau d'accès obtenu avant le déploiement est trop élevé.
Pire encore : certains de ces hackers écrivent leurs malwares en Java. Or, ce langage n'est généralement pas détecté par les logiciels antivirus selon une étude menée par les chercheurs du UK Cyber Response Services de KPMG et de Blackberry. Le fichier exécutable passe inaperçu.
Les chercheurs ont tiré cette conclusion suite à la découverte d'un malware dénommé Tycoon. La découverte a eu lieu fin 2019, mais l'étude vient tout juste d'être publiée. Ce malware utilise le format d'une image Java pour propager furtivement un ransomware sur les serveurs Windows ou Linux.
À l'origine, ce format » Jimage » est utilisé par Java de façon interne pour partager des fonctionnalités et du code pour les développeurs. C'est un format interne qui reste méconnu et n'est que peu documenté. Ceci prouve que les hackers à l'origine de ces attaques sont d'un très haut niveau d'expertise.
De plus, de nombreux Data Centers conservent le Java en » white list « puisqu'il est utilisé par de nombreuses entreprises. Les applications peuvent donc facilement contourner les contrôles de sécurité. Il n'est d'ailleurs pas envisageable pour les Data Centers de bloquer le langage Java, puisqu'il fait partie des langages essentiels à leur exploitation.
Fort heureusement, les premières versions de ce ransomware avaient une faille et les chercheurs ont donc pu déployer un outil de déchiffrement pour aider les victimes à récupérer leurs données. Hélas, cette faille a été corrigée sur les versions les plus récentes et le seul moyen connu pour restaurer les données est à présent de payer la rançon.
Les Data Centers doivent prendre des précautions contre les malwares en Java
Les chercheurs tirent donc la sonnette d'alarme et invitent les gestionnaires de Data Centers à trouver un moyen de détecter les malwares basés sur Java sans attendre les fournisseurs d'antivirus. Il serait préférable pour eux d'adopter un système de détection et de réaction plus moderne. Par exemple, l'analyse comportementale pourrait permettre de détecter une telle attaque et de l'empêcher.
D'autres langages utilisés par les Data Centers sont également pris pour cible par les hackers. C'est le cas de JavaScript, PowerShell, Python ou même le nouveau Golang.
Si les attaques sur les Data Centers ont le vent en poupe, c'est aussi à cause du COVID-19. Face à la pandémie, de plus en plus d'entreprises opèrent en télétravail et se tournent donc vers des solutions d'accès à distance reposant sur les Data Centers. Il n'est donc pas surprenant que les hackers s'y intéressent.
Si un pirate parvient à dérober les identifiants d'un employé pour accéder au serveur de Remote Desktop Protocol sur lequel une machine est virtualisée, il pourra ensuite propager son malware aux autres serveurs du centre de données.
Il est donc très important d'appliquer les bonnes pratiques de cybersécurité. Pensez à activer l'authentification multi-facteur sur tous les serveurs de remote destktop pour empêcher les hackers d'accéder aux comptes même avec les identifiants volés. Pensez aussi à utiliser un VPN pour vous connecter.
En outre, les Data Centers doivent mettre en place une segmentation pour empêcher la propagation du malware d'un serveur à l'autre. Les gérants de centres doivent aussi surveiller les tentatives suspectes de connexion aux serveurs.
- Partager l'article :
