Le ransomware Cerber chasse les bases de données des entreprises
Publié par Jacques Cheminat le | Mis à jour le
Cerber n'en finit pas d'évoluer en se tournant maintenant vers les bases de données des entreprises. Un marché particulièrement lucratif.
Un des ransomwares les plus célèbres, Cerber, a commencé à s'en prendre aux bases de données, précise McAfee, l'ancienne filiale de sécurité d'Intel revendue à TPG. Les cybercriminels derrière ce malware ont élaboré un module ciblant notamment les entreprises. Auparavant, Cerber se focalisait sur le grand public avec un beau palmarès : environ 160 campagnes en juillet dernier visant 150 000 personnes pour une rançon totale de 195 000 dollars en un mois. Etant dans un modèle de partage de revenus, le développeur de Cerber a empoché 78 000 dollars en un mois. Un retour sur investissement qui aiguise les appétits.
Pour Matthew Rosenquist, expert en sécurité chez Intel McAfee qui s'exprime sur un blog, « l'entreprise est le prochain terrain de chasse du ransomware ». Et les créateurs de Cerber ont apporté quelques modifications à leur bébé pour partir en chasse. En premier lieu, l'extension des fichiers chiffrés a changé avec 4 caractères aléatoires. Auparavant, l'extension était .cerber3 et le changement va rendre sa détection beaucoup plus difficile. En second lieu, la fenêtre invitant les utilisateurs à payer fait peau neuve. Elle est plus claire et fait plus professionnelle, précise le spécialiste (cf image ci-dessous).
Arrêt du process des bases de données pour mieux chiffrer
Enfin dernière transformation, Cerber tente maintenant d'arrêter le process des bases de données de la cible pour pouvoir chiffrer les données. « C'est une bascule importante des consommateurs vers des cibles entreprises qui exécutent des bases de données contenant d'importantes informations opérationnelles. Lorsque les fichiers des bases de données sont ouverts et utilisés par un logiciel, ils sont difficilement chiffrables. Cerber tente alors de fermer le logiciel pour accéder aux fichiers et les chiffrer. » Matthew Rosenquist lance donc une alerte aux administrateurs IT et de bases de données. « Si vous observez une interruption inattendue des bases de données, c'est peut-être une indication que le ransomware Cerber essaye de nuire à l'intégrité des fichiers. » En complément, il conseille aux responsables IT d'avoir de bonnes sauvegardes au cas où.
De simples conseils face à l'absence de remèdes. En effet, il n'y a actuellement pas de méthode pour déchiffrer Cerber. Une tentative menée par CheckPoint a finalement échoué.
A lire aussi :
Les ransomwares s'engouffrent dans la faille zero day de Flash
Un ransomware inonde des millions d'utilisateurs d'Office 365