9 août 2021
Un logiciel malveillant, aussi appelé « malware », désigne les programmes dangereux pour les systèmes des appareils. En prenant le contrôle de l’ordinateur, le malware accède aux systèmes informatiques qu’il endommage ou met hors service.
Le but étant de voler, modifier ou supprimer des données avant que l’administrateur ne s’en rende compte. Aussi, des demandes d’argent peuvent être soutirées illégalement en l’échange des données dérobées. On nomme cette technique « rançonlogiciel » ou « ransomware » en anglais.
Il n’existe pas de profils types caractérisant les victimes de malwares. En effet, toutes les entreprises peuvent être infectées peu importe leur secteur d’activité, d’où l’importance de sécuriser ses données.
Le malware Meow fait son apparition début juillet 2020 et se répand de façon exponentielle. En effet, en l’espace de cinq jours, plus de 3000 bases de données sont touchées dans le monde entier et le nombre de victimes ne fait qu’augmenter.
Les cibles du malware sont des bases de données non-sécurisées d’entreprises qui avaient laissé leurs fichiers et ceux de leurs clients sans aucune protection ou alors très faible. Une fois la base de données infiltrée, les informations sont effacées et remplacées par des miaulements virtuels, d’où le nom de l’attaque « Meow ».
Aucune menace ou de demande de rançon n’a été formulée après chaque attaque, les données étant simplement piratées et détruites à jamais. Fin juillet 2020, plus de 4000 bases de données ont été touchées par le malware et ont vu leurs données s’effacer de façon irrécupérable.
Une des premières victimes de ces attaques a été la société UFO VPN [1], entreprise fournissant des réseaux privés virtuels autrement dit des VPN. Le chercheur en sécurité Bob Diachenki avait déjà découvert des anomalies de sécurité dans leur base de données Elasticsearch et avait prévenu la société afin qu’elle remédie à cette situation risquée.
Aussi, UFO VPN avait assuré prendre la situation en main en protégeant davantage leurs données. Protection visiblement trop légère puisque la seconde fois c’est le malware Meow qui a exploité ces faiblesses de sécurité en supprimant totalement les données.
Même s’il n’existe pas de profils types pour être victime d’une cyberattaque, les chercheurs en sécurité ont pu remarquer que les cibles du malware « Meow » avaient toutes un point commun. En effet, toutes les entreprises attaquées ne sécurisaient pas, ou très légèrement, leur base de données.
Leur plan d’attaque était ainsi prédéfini et simple à suivre. Trouver les bases de données non sécurisées en scannant Internet afin de sélectionner celles ouvertes et les pirater. Sans système de protection, aucun mot de passe ou de clé de sécurité n’étaient à déjouer puisque les informations des clients, comme des sociétés, étaient exposées à la vue de tous.
Aussi, les chercheurs se sont lancés dans une course contre le malware afin de découvrir en premier les bases de données mal sécurisées et d’en informer leur administrateur.
Parmi toutes les bases de données, Elasticsearch et MongoDB ont d’abord été touchées, puis ces attaques se sont étendues à d’autres types de databases telles que Cassandra, Redis, Hadoop ou encore CouchDB.
Le 22 juillet[2], les principales victimes étaient Elasticsearch, avec 1395 bases touchées, MongoDB avec 383 bases touchées et Redis avec 54 bases touchées.[3]
Sans demandes de rançon ou de menaces particulières, cette cyberattaque peut être caractérisée comme « donneuse de leçon ». Elle prouve en effet qu’il est facile de toucher et d’attaquer les entreprises qui laissent leur base de données sans protection. En effet, les cybercriminels à l’origine de ce malware n’ont pas eu besoin de pirater les mots de passe pour atteindre les bases de données ouvertes à tous.
L’objectif du malware Meow était de mettre en avant la facilité à pirater des données non sécurisées. L’incompétences des sociétés à protéger les données de leur client en soulignant leur manque d’attention et de vigilance était le constat final de ces attaques.
Aujourd’hui, il est primordial de protéger les données stockées dans le cloud via un mot de passe ou une clé de sécurité. De plus, avec la crise sanitaire le nombre de cyberattaques n’a fait que de se décupler et leur dangerosité de s’intensifier.
Pour (re)découvrir les premiers épisodes de notre série d’été, cliquez ici.
Sources :
[1] Figaro, « De mystérieuses cyberattaques « Meow » effacent intégralement des bases de données », Samuel kahn, 27 juillet 2020
[2] « La nouvelle attaque « Meow » a maintenant effacé près de 4000 bases de données », Developpez.com, 27 juillet 2020, Stan Adkens
[3] Devloppez, « La nouvelle attaque « Meow » a maintenant effacé près de 4000 bases de données », Stan Adkens, 27 juillet 2020