ActualitésTechno

Les systèmes Linux, nouvelle cible favorite des ransomwares et du cryptojacking

Linux est un composant essentiel des infrastructures numériques et représente à ce titre une cible de choix pour les cybercriminels désireux de s’introduire dans des environnements multi cloud.  Actuellement, les solutions de protection contre les malwares disponibles sur le marché concernent principalement les systèmes Windows, laissant ainsi une grande partie des clouds publics et privés à la merci des menaces qui ciblent les workloads Linux.

VMware, Inc. publie un rapport sur ces menaces, intitulé « Exposing Malware in Linux-Based Multi-Cloud Environments ». Celui-ci détaille l’utilisation croissante par les cyberscriminels de malwares ciblant les systèmes d’exploitation Linux.

En voici les principales conclusions :

  • Les ransomwares évoluent pour cibler les images systèmes utilisées pour lancer des workloads dans des environnements virtualisés ;
  • 89 % des attaques de cryptojacking utilisent des librairies dérivées de XMRig ;
  • Plus de la moitié des utilisateurs de Cobalt Strike seraient potentiellement des cybercriminels, ou utiliseraient Cobalt Strike de manière illicite.

« Les cybercriminels sont en train de considérablement étendre leur champ d’action et ajoutent à leur arsenal des logiciels malveillants ciblant des systèmes Linux pour faire un maximum de dégâts sans augmenter leur effort », déclare Giovanni Vigna, Senior Director Threat Intelligence chez VMware. « Au lieu d’attaquer un point d’entrée (endpoint) et de se déplacer vers une cible plus importante, les cybercriminels ont découvert que la compromission d’un seul serveur pouvait être largement plus intéressante et rentable, tout en leur permettant d’accéder à ce qu’ils recherchent. Les pirates considèrent les Clouds publics et privés comme des cibles de choix, car ils donnent la possibilité d’accéder à des services d’infrastructures critiques pour les organisations et à des données confidentielles. Malheureusement, les moyens actuels de défense se focalisent essentiellement sur les menaces pour les systèmes Windows, ce qui laisse une grande partie des Cloud public et privé à la merci de ces attaques. »

Les logiciels malveillants ciblant des systèmes d’exploitation basés sur Linux étant toujours plus nombreux et complexes dans un contexte où les menaces évoluent rapidement, les organisations doivent mettre davantage l’accent sur la prévention. Dans le cadre de ce rapport, la division Threat Analysis Unit (TAU) de VMware a analysé les menaces à l’encontre de ces systèmes d’exploitation dans des environnements multi cloud : ransomwares, cryptojacking et outils d’accès à distance.

Les ransomwares ciblent le Cloud pour infliger un maximum de dégâts

Étant l’une des principales causes d’exposition des organisations, les attaques ransomware qui portent sur un environnement Cloud peuvent avoir des conséquences désastreuses. Ces campagnes ciblant des déploiements Cloud impliquent souvent des exfiltrations de données. Les pirates mettent ainsi en pratique un schéma de double extorsion qui augmente leurs chances d’effectivement obtenir des gains. Aujourd’hui, il apparait que les ransomwares ont été enrichis dans le but de cibler les images utilisées pour lancer des workloads dans des environnements virtualisés. Les pirates recherchent désormais les ressources les plus précieuses des environnements Cloud, pour infliger un maximum de dégâts.

Les attaques de cryptojacking utilisent XMRig pour cibler du Monero

Les cybercriminels à la recherche de gains rapides ciblent souvent des cryptomonnaies en choisissant parmi deux grandes approches : en incluant des fonctionnalités permettant de voler des portefeuilles dans des scripts malveillants, ou en monétisant des processeurs piratés afin de cibler des cryptomonnaies (cryptojacking), la plupart du temps du Monero (ou XMR). La division TAU de VMware a ainsi découvert que 89 % des cryptomineurs utilisaient des librairies issues de XMRig. En d’autres termes, l’identification de librairies et modules spécifiques à XMRig dans des binaires Linux est très souvent la preuve de comportements malveillants. La division TAU a également pu observer que les cryptomineurs sont particulièrement agiles lors d’attaques ciblant des systèmes Linux. Toutefois, le cryptojacking ne perturbant pas totalement le fonctionnement des environnements Cloud à l’image des ransomwares, ce type d’attaque est bien plus difficile à détecter.

Cobalt Strike : l’outil d’accès à distance préféré des pirates

Pour prendre le contrôle et s’imposer dans un environnement, les attaquants cherchent à installer un implant, à se greffer sur un système compromis, afin d’en prendre partiellement le contrôle. Les logiciels malveillants, webshells et outils d’accès à distance RAT (Remote Access Trojan) font tous partie de l’arsenal mobilisé pour arriver à leurs fins. L’un des implants les plus utilisés par les assaillants est Cobalt Strike, un outil commercial conçu pour les tests d’infiltration et les exercices des équipes de sécurité informatique. Il s’agit d’une variante récente de l’outil Vermilion Strike basé sur Linux. Puisque Cobalt Strike représente déjà une menace très répandue sur Windows, son expansion à Linux témoigne de la volonté des criminels d’utiliser des outils facilement accessibles et ciblant un maximum de plateformes.

L’équipe VMware TAU a ainsi découvert plus de 14 000 serveurs d’équipe Cobalt Strike actifs sur Internet entre février 2020 et novembre 2021. Le pourcentage total d’identifiants client Cobalt Strike piratés et divulgués sur le web est de 56 %. En d’autres termes, plus de la moitié des utilisateurs de Cobalt Strike seraient des cybercriminels, ou s’en serviraient de façon illicite. Le fait que des RAT tels que Cobalt Strike et Vermilion Strike soient devenus des outils facilement accessibles pour les cybercriminels représente un risque considérable pour les entreprises.

« Depuis que nous avons construit cette analyse, les familles de ransomwares orientées vers les OS Linux n’ont eu de cesse de croître. Le risque est donc que d’autres attaques tirent parti des vulnérabilités de la librairie Log4j », avertit Brian Baskin, Manager Threat Research chez VMware. « Les résultats de ce rapport peuvent aider à mieux comprendre la nature des logiciels malveillants basés sur Linux, et à maîtriser la menace croissante que représentent les ransomwares, le cryptojacking et les RAT pour les environnements multicloud. Les attaques ciblant le Cloud évoluant constamment, les organisations doivent adopter une approche Zero Trust afin d’intégrer des mécanismes de sécurité à travers l’ensemble de leur infrastructure, et gérer de façon systématique les vecteurs de menaces formant leur surface d’attaque. »

Méthodologie : L’équipe Threat Analysis Unit (TAU) de VMware contribue à protéger les clients des cyberattaques grâce à des innovations et à des travaux de recherche à l’échelle internationale. Cette division réunit des analystes de logiciels malveillants, des experts en rétro-ingénierie, des chasseurs de menaces, des data scientists et des analystes du renseignement de VMware. Pour comprendre comment détecter et éviter les attaques contournant les stratégies de prévention traditionnelles axées sur les fichiers, l’unité se concentre sur des techniques autrefois réservées aux hackers les plus avancés, et aujourd’hui en phase de banalisation sur le marché des outils de piratage. Cette équipe exploite le big data en temps réel et s’appuie sur le traitement des flux d’événements, des analyses statiques, dynamiques et comportementales, et sur le machine learning.

TAU utilise un mélange de techniques statiques et dynamiques pour catégoriser différentes familles de logiciels malveillants observés sur des systèmes basés sur Linux, et ce à partir d’un jeu de métadonnées structurées associées à des binaires Linux. Tous les échantillons de ce jeu de données sont publics, et sont donc aisément accessibles sur VirusTotal, ou sur divers sites des principales distributions Linux. TAU a recueilli plus de 11 000 échantillons bénins depuis plusieurs de ces distributions — Ubuntu, Debian, Mint, Fedora, CentOS et Kali. L’équipe a ensuite collecté un jeu de données sur des échantillons représentant deux types de menaces : les ransomwares et les cryptomineurs. Enfin, elle a récupéré un jeu de données sur des binaires ELF malveillants en provenance de VirusTotal, et s’en est servi comme jeu de données de test. Ce jeu de données a été collecté entre juin et novembre 2021.

À propos de VMware

VMware, leader des services multicloud pour tout type d’application, soutient l’innovation numérique en permettant aux entreprises de contrôler leurs environnements. En tant qu’accélérateur d’innovation, l’éditeur propose des solutions fournissant aux organisations la flexibilité et le choix nécessaires pour bâtir leur avenir. Basé à Palo Alto, en Californie, VMware est déterminé à créer un avenir meilleur en suivant son agenda pour 2030. Pour plus de renseignements, rendez-vous sur vmware.com/company

perelafouine

Une question, une remarque : webmaster@franol.fr

Articles similaires

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Bouton retour en haut de la page
%d blogueurs aiment cette page :