Minecraft Windows

Microsoft a rapporté avoir vu des serveurs Minecraft vulnérables à Log4Shell être infectés avec le ransomware Khonsari.

Khonsari est une nouvelle famille de ransomwares dont les premières activités ont été découvertes par Bitdefender il y a quelques jours.

Possiblement un wiper déguisé en ransomware

Jusqu’à présent, la vulnérabilité critique Log4Shell avait été exploitée par des botnets ou pour déployer des mineurs de cryptomonnaies et des balises Cobalt Strike. Microsoft avait également indiqué l'avoir vue être utilisée dans des activités réalisées par des groupes de hackers liés à des États, comme la Chine, l’Iran, la Corée du Nord et la Turquie. Désormais, comme détecté par Bitdefender, un premier ransomware utilise Log4Shell pour infecter des systèmes vulnérables, Khonsari.

Cependant, ce ransomware reste encore assez mystérieux sur ses intentions réelles : si les fichiers sont bien chiffrés après l’infection et qu’une demande de rançon est bien présentée à la victime, il n’y a aucun moyen de contacter qui que ce soit pour payer la rançon. L’analyste d’Emsisoft Brett Callow a indiqué à BleepingComputer que le nom et les coordonnées utilisés par le ransomware étaient ceux d’un antiquaire en Louisiane. Certains le soupçonnent donc d’être en réalité un wiper.

Les serveurs Minecraft visés par plusieurs attaques

Le jeu Minecraft, dans sa version Java, est désormais visé par le ransomware Khonsari, a rapporté Microsoft. En particulier, les hackers chercheraient des serveurs hébergés par des utilisateurs ou des entreprises autres que Microsoft qui n’auraient pas été mis à jour et qui sont donc toujours vulnérables à Log4Shell. Pour rappel, exploiter Log4Shell sur Minecraft est d’une facilité déconcertante : il suffit d’une ligne dans le chat pour arriver à compromettre le serveur ainsi que les clients connectés. À l’aide de cette simple instruction, les attaquants récupèrent un payload sur leur serveur et l’exécutent sur le serveur vulnérable et les PC connectés, menant ici à une infection par le ransomware Khonsari.

D'autres attaques observées par Microsoft utilisent la même méthode du message dans le chat sur Minecraft pour déployer des reverse shells. De cette manière, les attaquants obtiennent un accès complet aux machines vulnérables et peuvent récupérer des identifiants pour se déplacer latéralement sur un réseau. Aucune autre activité n'a été détectée sur les ordinateurs compromis, mais l'entreprise prévient qu'il est possible que les accès obtenus soient utilisés plus tard.

Si vous hébergez un serveur Minecraft vous-même, il est donc nécessaire de faire au plus vite les mises à jour pour protéger votre système. Mojang a détaillé dans un article de blog sur Minecraft.net les étapes à suivre.

Sur le même sujet :
Le visage de la cybersécurité en 2022 : Norton nous donne ses premières pistes

Sources : BleepingComputer, Microsoft, BusinessInsights