Rejoignez-Nous sur

Linux Ransomware – Cas notoires et moyens de protection

News

Linux Ransomware – Cas notoires et moyens de protection

La peste des ransomwares fait parler de la ville de la cybersécurité depuis l'émergence de CryptoLocker en 2013. Une combinaison de chiffrement de niveau militaire et de mécanismes d'extorsion efficaces rend chaque attaque potentiellement désastreuse car la victime court le risque de perdre des données essentielles sur toute la ligne. .

Alors que la grande majorité des chevaux de Troie de rançon zéro sur les PC Windows, certaines souches se concentrent sur les appareils exécutant d'autres systèmes d'exploitation à la place. L'écosystème Linux est un champ de bataille en constante expansion à cet égard. Cela peut sembler à première vue une tactique marginale, mais une fois que vous avez exploré la facette wiki de la question, la logique des attaquants commence à prendre tout son sens.

Linux est largement déployé sur des serveurs qui administrent des réseaux d'entreprise, des bases de données massives et des services Web. En clair, ces appareils sont des cibles juteuses pour prendre des otages. Leurs propriétaires sont principalement des entreprises ou des institutions gouvernementales dotées de budgets importants qui peuvent se permettre de payer pour revenir à un fonctionnement normal.

Le ransomware Linux couvre toute la gamme des différentes techniques de distribution et méthodes d'extorsion. Les épidémies infâmes suivantes de ces infections mettront en lumière l'essence hétérogène de ce paysage de cybermenaces tout en mettant en évidence les défenses efficaces que les organisations devraient mettre en œuvre pour rester du côté sûr.

Tycoon ransomware

Après avoir fait irruption sur la scène début décembre 2019, Tycoon est le dernier exemple de ransomware Linux. Pour mémoire, c'est un souche à deux volets qui peut également infecter les machines Windows. L'ensemble des victimes envisagées va des éditeurs de logiciels aux établissements d'enseignement, les raids étant très ciblés.

La charge utile Tycoon arrive avec une archive ZIP piégée contenant un composant JRE (Java Runtime Environment) malveillant. Ses opérateurs ont tendance à se superposer aux ports RDP (Remote Desktop Protocol) non sécurisés comme point d'entrée d'origine. Une fois l'infiltration clandestine dans un réseau d'entreprise terminée, le code prédateur est compilé dans une entité d'image Java (JIMAGE) qui permet aux attaquants de créer une construction JRE personnalisée présentant des caractéristiques malveillantes.

L'objet Java nuisible de la dernière étape est exécuté par un script shell particulier dans les coulisses. Il prend en charge les frameworks Linux et Windows, de sorte que la chaîne d'attaque suivante dépend du système d'exploitation utilisé dans le réseau victime. L'infection est accompagnée d'un fichier de configuration stockant le texte de la note de rançon, la clé publique RSA, l'adresse e-mail du malfaiteur et la liste des composants réseau à ignorer pendant le cryptage douteux.

Tycoon brouille chaque fichier sur un serveur à l'aide d'une clé AES différente, qui est ensuite codée avec la clé RSA-1024 détenue par les auteurs. La note de rançon demande à la victime de contacter les attaquants et de payer pour la récupération des données en Bitcoin dans les 60 heures. Sinon, le montant augmentera de 10% par jour.

Ransomware Lilocked

Aussi connu sous le nom de Lilu, cette souche du rançongiciel Linux a fait ses débuts à la mi-juillet 2019. Deux mois plus tard, ses architectes ont donné un coup de pouce à leur campagne en frappant environ 6 700 milliers de serveurs Web Linux en environ une semaine. Bien que le vecteur d'attaque exact ne soit pas connu, la théorie de certains chercheurs était que les criminels exploitaient des versions obsolètes de l'agent de transfert de messages Exim pour prendre pied dans un environnement cible.

Après avoir chiffré les données stockées sur un serveur, le ransomware ajoute l'extension .lilocked à chaque fichier. Il dépose également une note de rançon nommée "# README.lilocked" dans tous les répertoires parents contenant des données codées. Ce document précise la taille de la rançon (0,03 BTC, d'une valeur d'environ 300 $ à l'époque) et fixe un délai de paiement de sept jours. Pour vous assurer que le serveur peut continuer à fonctionner tout au long de l'incursion, le parasite ignore les fichiers critiques tout en se concentrant sur un ensemble limité d'éléments stockés au format HTML, SHTML, CSS, JS, INI, PHP et dans les formats d'image populaires.

QNAPCrypt

Cette vague de rançongiciels a pris racine en juillet 2019. Elle se concentre sur l'infection des périphériques Linux de stockage en réseau (NAS), qui sont généralement connus pour détenir les actifs de données les plus précieux d'une organisation. Au sommet de son fonctionnement, QNAPCrypt était faire le tour via plus d'une douzaine de sous-campagnes simultanées.

L'attaque repose sur des pratiques d'authentification grossières utilisées par certaines entreprises pour établir des connexions via un proxy SOCKS5. Dès que la charge utile est exécutée, le cheval de Troie rançon tend la main à son serveur de commande et de contrôle (C2) pour recevoir une clé publique RSA et une adresse de portefeuille Bitcoin pour le paiement, cette dernière étant unique pour chaque victime.

Erebus

Le programme destructeur appelé Erebus gagné en notoriété pour avoir entraîné le plus gros versement de rançon à ce jour. En juin 2017, il a effectué une descente dans plus de 150 serveurs Linux de Nayana, un important fournisseur d'hébergement Web sud-coréen. La société concernée a choisi de payer un million de dollars de Bitcoin aux escrocs pour restaurer son infrastructure numérique.

Erebus a été découvert à l'origine en septembre 2016. À son aube, il se dirigeait vers les systèmes Windows en exploitant une faille dans la fonction de contrôle de compte d'utilisateur. Plus tard, les auteurs de ce ransomware l'ont réutilisé pour cibler les serveurs Linux. Après avoir pénétré à l'intérieur, il analyse le réseau compromis pour plus de 400 types de fichiers, y compris des bases de données, des archives, des documents et des éléments multimédias.

Pour empêcher la victime d'accéder à leurs données, le cheval de Troie utilise une fusion non craquable des cryptosystèmes RSA-2048, AES et RC4. Fait intéressant, il utilise une note de rançon multilingue pour couvrir un large éventail de cibles potentielles et faire passer l'extorsion au niveau supérieur.

Logiciel de rançon KillDisk

De manière similaire à Erebus, KillDisk a commencé comme une menace Windows uniquement et a ensuite étendu sa portée aux environnements Linux. Ce changement a eu lieu en janvier 2017. L'infection d'origine s'est démarquée des autres en étant associée à des opérations de sabotage financées par l'État. Il aurait été utilisé comme instrument d'essuyage des données dans le Cyber-attaques de décembre 2015 contre le secteur énergétique ukrainien et les médias.

La variante Linux de KillDisk fonctionne en écrasant le chargeur de démarrage GRUB. De cette façon, il empêche le système hôte de démarrer et affiche une note de rançon en plein écran exigeant 222 Bitcoin (d'une valeur d'environ 200 000 $ au moment de la première épidémie). La mise en garde est que selon les analystes de la sécurité, le programme perturbateur n'enregistre pas les clés cryptographiques localement et ne les soumet pas à un serveur C2. En d'autres termes, payer la rançon pourrait être futile car la récupération est très probablement impossible. C'est une autre bizarrerie suggérant que KillDisk pourrait avoir été principalement conçu comme une cyber-guerre plutôt qu'un outil d'extorsion.

Comment repousser les ransomwares Linux?

Contrairement à une idée fausse répandue, les attaques de virus les plus dévastatrices ne sont pas isolées du monde Windows. Logiciels malveillants pour Mac se prépare à une augmentation ces jours-ci, et les serveurs Linux ne sont pas sûrs non plus. Les techniques suivantes aideront à renforcer la position de sécurité d’une organisation en termes de lutte contre le fléau de plus en plus inquiétant des attaques de ransomwares Linux.

  • Sauvegardez vos fichiers critiques et diversifiez les supports de stockage pour éviter un seul point de défaillance (SPOF).
  • Mettre en œuvre le principe du moindre privilège pour les comptes d'utilisateurs.
  • Gardez les serveurs et les points finaux à jour pour vous assurer qu'ils utilisent les derniers correctifs de sécurité.
  • Suivez des pratiques efficaces de surveillance du réseau.
  • Gardez un œil sur les journaux d'événements pour identifier les comportements anormaux avant qu'ils ne causent des dommages.
  • Tirez parti d'une combinaison de filtrage IP, d'un système de détection d'intrusion (IDS) et d'un système de prévention des intrusions (IPS).
  • Utilisez des extensions de sécurité Linux qui contrôlent et restreignent l'accès aux données ou aux ressources réseau.
  • Appliquez une segmentation réseau robuste et une compartimentation des données pour minimiser l'impact d'une attaque potentielle de ransomware.

Il est également essentiel pour les entreprises de protéger leurs réseaux de manière proactive. Investir dans des défenses fiables pour éviter une calamité de rançongiciel est bien plus rentable que gérer ses séquelles. De plus, c'est une bonne idée d'avoir un plan de réponse aux incidents qui prendra effet si les choses deviennent incontrôlables.

Image vedette par rawf8 de Shutterstock.com





Traduction de l’article de David Balaban : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top