0

  • Votre panier est vide.

  • COMPTE

Ragnarok Ransomware exploite la faille Citrix pour cibler les serveurs vulnérables

Certains articles de veille peuvent faire l'objet de traduction automatique.

Voici un autre incident pour souligner à nouveau la nécessité de corriger la grave vulnérabilité Citrix (CVE-2019-19781). Un nouveau ransomware appelé Ragnarok est dans la nature et cible activement les serveurs Citrix ADC vulnérables.

Ragnarok Ransomware exploitant Citrix

Les chercheurs ont découvert de nouveaux ransomwares impliqués dans le ciblage des serveurs Citrix ADC vulnérables. Comme révélé, les cybercriminels exploitent la tristement célèbre vulnérabilité Citrix (CVE-2019-19781) pour attaquer des machines vulnérables.

Les attaquants compromettent d’abord les périphériques Citrix ADC vulnérables. En cas de succès, ils téléchargent ensuite des scripts pour rechercher les machines Windows vulnérables à EternalBlue. Ensuite, lors de la recherche de périphériques vulnérables, le script injecte une DLL pour télécharger et exécuter le ransomware Ragnarok.

Bien que cela ressemble à un ransomware typique, il présente également des différences importantes qui le rendent unique.

Dans un premier temps, il exclut la Russie et la Chine des attaques de cryptage. Pour cela, il vérifie l’ID de langue Windows.

Ensuite, il tente de désactiver Windows Defender de Microsoft pour contourner tout contrôle de sécurité. Il a également tendance à désactiver la réparation automatique au démarrage, à effacer les clichés instantanés de volume et à arrêter le pare-feu Windows.

Cependant, le processus de cryptage de Ragnarok est similaire à celui des autres ransomwares. Autrement dit, il utilise le cryptage AES pour crypter les fichiers, tout en cryptant la clé générée avec la clé de cryptage RSA fournie. Il renomme également les fichiers chiffrés en ajoutant une extension «.ragnarok».

Lors de l’analyse des données, il ignore tous les fichiers système ou ceux avec «.exe», «.dll», «.sys», ainsi que certains autres chemins de fichiers spécifiés.

Publication du correctif de vulnérabilité Citrix

Pour l’instant, il n’est pas possible de remédier à une attaque de cryptage Ragnarok. Par conséquent, les utilisateurs doivent faire très attention à leur sécurité.

Les utilisateurs de Windows peuvent certainement empêcher cette attaque en activant la «protection contre les falsifications Microsoft» dans Windows 10 qui empêche les modifications apportées à Windows Defender.

Les utilisateurs doivent s’assurer de corriger la vulnérabilité Citrix en premier lieu pour éviter Ragnarok et d’autres attaques potentielles qui exploitent la faille.

Voir aussi :

octobre 17, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)