Les attaques contre Exchange présagent une vague de ransomware

Les attaques ciblant le serveurs Exchange on premise se poursuivent et la Suisse n’est pas épargnée, selon les analyses de Kaspersky. Même constat du côté d’Eset, qui signale que depuis la publication du correctif, une dizaine de groupes de pirates exploitent la vulnérabilité pour injecter des malwares.

> Sur le sujet: Vaste attaque contre les serveurs Exchange, des dizaines de milliers d’organisations touchées

Pour beaucoup de spécialistes, ces contaminations tous azimuts risquent de donner lieu à une vague d’attaques par rançongiciel. «On ne sait toujours pas comment la distribution de cette exploitation s'est faite, mais il est inévitable que de plus en plus d'acteurs malveillants, y compris les opérateurs de ransomware, y auront accès tôt ou tard», avertit Eset.

«Les hackers ont laissé des web shells qui peuvent maintenant permettre à d'autres de s'introduire dans ces réseaux, potentiellement même à des acteurs de ransomware», renchérit Dmitri Alperovitch, cofondateur de CrowdStrike, cité par la MIT Technology Review.

Pour le spécialiste Brian Krebs, le scénario est plus que probable: «Toutes les sources avec lesquelles j'ai discuté de cet incident s'attendent à ce que les cybercriminels motivés par le profit se jettent sur les victimes en déployant des ransomwares en masse. Vu que de nombreux groupes ont maintenant installé des backdoors web shells, il serait trivial de déclencher un ransomware sur la totalité d'entre eux en une seule fois».

Pour l’heure, cette possibilité ne s’est pas réalisée, mais la donne pourrait changer si le code pour pénétrer les serveurs est rendu public. «Lorsque cela se produira, les exploits seront intégrés dans des kits de test d'exploits accessibles au public, ce qui permettra à n'importe quel attaquant de trouver et de compromettre facilement un bon nombre de victimes qui ne sont pas encore patchées», avertit Brian Krebs.