Aller au contenu principal

SysNux rançonnée !

SysNux

SysNux a subi une menace d'attaque DDoS (déni de service distribué), avec preuve de réalisation, et demande de rançon pour l'éviter.

Menace

La menace est arrivée sous la forme d'un email avec pour sujet "ATTENTION: Ransom request!!!", expédié par "Armada Collective".

Le message indiquait que tous les serveurs de SysNux (!) subiraient deux jours plus tard une attaque par déni de service distribué (DDoS), si 5 bitcoins n'étaient pas payés d'ici là. Le cours du bitcoin à cette date était d'environ 600 Euros, soit une rançon d'environ 3,000 €, une somme loin d'être négligeable.

En outre, la rançon augmenterait de 5 BTC par jour suivant le début de l'attaque.

D'autre part le mail prévenait qu'une attaque "légère, non catastrophique" de 15 minutes aurait lieu immédiatement sur telle adresse IP, pour prouver la véracité de la menace.

Le groupe prévenait aussi que la véritable attaque serait extrêmement puissante, avec un débit supérieur à 1 Tb/s.

Enfin, Armada Collective indiquait que la transaction demeurerait secrète, grâce à l'anonymité du bitcoin.

(voir ci-dessous l'email complet)

Analyse

Effectivement, dans les minutes qui ont suivi la réception de l'email, le serveur web de SysNux a enregistré 5,422 requêtes illicites (GET, POST, invalides) en 15 minutes, soit 6 requêtes par seconde : Armada Collective ne se doutait sans doute pas qu'il s'agissait déjà probablement d'un record pour www.sysnux.pf !

(voir ci-dessous quelques requêtes)

Les logs du serveur web ont montré que l'attaque de démonstration était effectuée depuis une unique adresse IP, correspondant à un serveur OVH. L'attaque n'était donc pas distribuée, et aurait pu facilement être bloquée par une règle de filtrage réseau.

L'email provenait de la même adresse IP.

OVH a immédiatement été informé via leur adresse abuse, mais seule une réponse automatique de bonne réception de la dénonciation a été reçue : nous ne savons pas si une suite a été donnée.

Unr recherche sur internet montre que le groupe Armada Collective est connue pour ce genre de tentative d'extorsion, et dispose de réels moyens : par exemple, Akamai a mesuré un débit de 772 Mb/s lors d'une attaque. Les méthodes sont similaires à celles de DD4BC, crédité en septembre 2015 de 141 attaques réelles, à des débits de plusieurs dizaines de Gb/s.

Attaque

SysNux n'a évidemment pas payé la rançon, et aucune attaque n'a été subie. On peut imaginer deux raisons :

  • la menace était fictive,
  • Armada Collective a visé une adresse IP particulière, or le site internet de SysNux est hébergé en Polynésie française, sur une liaison ADSL dont l'adresse IP change tous les 12 heures. Si tel est le cas, il se peut qu'un pauvre internaute ait subi cette attaque…

Conclusion

Si, pour SysNux, ce genre de menace ne pose pas vraiment de problème, il n'en est évidemment pas de même pour une entreprise dont le site internet est important pour ses clients.

Cette forme de ransomware est peut-être moins connu que celui lié au chiffrement de fichiers, mais il n'en demeure pas moins très dangereux, sachant que les attaques DDoS sont difficiles à contrer sans infrastructure importante : Akamai a publié récemment (25 juillet 2016) l'analyse d'une attaque DDoS atteignant 363 Gb/s ! La capacité actuelle de la principale liaison internationale étant d'environ 10 Gb/s à Tahiti, ça serait toute la Polynésie française qui serait impactée par une telle attaque.

Email

Voici l'email de menace reçu :

Return-Path: 
X-Original-To: web@sysnux.pf
Delivered-To: web@sysnux.pf
 ...
Received: from pop.mana.pf
 ...
Received: from axi-mx1.mana.lan (192.168.20.233) by axi-promh2 (Axigen)
 with (ECDHE-RSA-AES128-SHA256 encrypted) ESMTPS id 15B6C0;
 Wed, 6 Jul 2016 10:15:33 -1000
Received: from mh-node1.mana.pf (202.3.227.112) by axi-mx1.mana.lan (Axigen)
 with ESMTP id 3F3F60; Wed, 6 Jul 2016 10:15:01 -1000
Received: from mx1.mana.pf (mx1.mana.pf [202.3.225.23])
	by mh-node1.mana.pf (MOS 4.1.10-GA)	with ESMTP id FLJ16210	for web@sysnux.pf;
	Wed, 6 Jul 2016 10:14:04 -1000
Received: from ks3293195.kimsufi.com (ks3293195.kimsufi.com [5.135.186.134])
	by mx1.mana.pf (MOS 4.1.10-GA)	with ESMTP id ZTP04918	for ;
	Wed, 6 Jul 2016 10:14:53 -1000
Date: Wed, 6 Jul 2016 10:14:53 -1000
Message-Id: <201607062014.ZTP04918@mx1.mana.pf>
From: Armada Collective 
To: web@sysnux.pf
Subject: ATTENTION: Ransom request!!!
X-Junkmail-Whitelist: YES (by domain whitelist at mx1.mana.pf)
X-Original-Recipient: courrier@sysnux.pf

FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE DECISION!

We are Armada Collective.

All your servers will be DDoS-ed starting Friday (Jul 8 2016) if you don't pay 5 Bitcoins @ 1B2Xdox8UcmmSCtHZQTnqmgTyUfnxUqsqd

When we say all, we mean all - users will not be able to access sites host with you at all.

Right now we will start 15 minutes attack on your site's IP 123.50.85.204. It will not be hard, we will not crash it at the moment to try to minimize eventual damage, which we want to avoid at this moment. It's just to prove that this is not a hoax. Check your logs!

If you don't pay by Friday, attack will start, price to stop will increase by 5 BTC for every day of attack.

If you report this to media and try to get some free publicity by using our name, instead of paying, attack will start permanently and will last for a long time.

This is not a joke.

Our attacks are extremely powerful - sometimes over 1 Tbps per second. So, no cheap protection will help.

Prevent it all with just 5 BTC @ 1B2Xdox8UcmmSCtHZQTnqmgTyUfnxUqsqd

Do not reply, we will probably not read. Pay and we will know its you. AND YOU WILL NEVER AGAIN HEAR FROM US!

Bitcoin is anonymous, nobody will ever know you cooperated.

Requêtes

Voici quelques unes des 5,422 requêtes enregistrées par le serveur web :

5.135.186.134 - - [06/Jul/2016:10:17:05 -1000] "-" 408 - "-" "-"
5.135.186.134 - - [06/Jul/2016:10:17:21 -1000] "\x06n\xb3]" 400 226 "-" "-"
5.135.186.134 - - [06/Jul/2016:10:30:49 -1000] "GET /?=ppln HTTP/1.1" 200 6592 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; en-gb) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27"
5.135.186.134 - - [06/Jul/2016:10:30:49 -1000] "POST /?j= HTTP/1.1" 400 226 "-" "Mozilla/4.0 (compatible; MSIE 8.0; AOL 9.7; AOLBuild 4343.21; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E)"
5.135.186.134 - - [06/Jul/2016:10:30:49 -1000] "GET /?nt=hn HTTP/1.1" 200 6592 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; RW; rv:1.8.0.7) Gecko/20110321 MultiZilla/4.33.2.6a SeaMonkey/8.6.55"
5.135.186.134 - - [06/Jul/2016:10:30:49 -1000] "POST /?mpzfs= HTTP/1.1" 400 226 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_6; en-gb) AppleWebKit/533.20.25 (KHTML, like Gecko) Version/5.0.4 Safari/533.20.27"