Vous savez que le rançongiciel est un danger, mais comment renforcer vos défenses ? Autrement dit, qu’est-ce que vous devez protéger en premier lieu ? Les postes de travail Windows, les serveurs Active Directory et les autres produits Microsoft sont souvent les premiers candidats. Cette approche est généralement justifiée. Il convient toutefois de ne pas oublier que les cybercriminels ne cessent d’évoluer et que de nouveaux outils sont développés pour les serveurs de Linux et pour les systèmes de virtualisation. Le nombre d’attaques contre les systèmes Linux a augmenté de près de 75 % en 2022.
La motivation derrière ces attaques est évidente : l’open source et la virtualisation sont de plus en plus populaires, ce qui signifie que de plus en plus de serveurs utilisent Linux ou VMware ESXi. Ces systèmes conservent beaucoup d’informations sensibles qui, si elles sont chiffrées, peuvent instantanément paralyser les opérations d’une entreprise. Étant donné que la sécurité des systèmes Windows a toujours attiré l’attention, il s’avère que les serveurs qui ne sont pas de Windows sont une cible facile.
Les attaques lancées en 2022 et 2023
- En février 2023, plusieurs propriétaires de serveurs VMware ESXi ont été victimes de l’épidémie du rançongiciel ESXiArgs. L’exploitation de la vulnérabilité CVE-2021-21974 permettait aux cybercriminels de désactiver les machines virtuelles et de chiffrer les fichiers .vmxf, .vmx, .vmdk, .vmsd et .nvram.
- Le tristement célèbre gang Clop, connu pour l’attaque à grande échelle qui a visé les services de transfert de fichiers Fortra GoAnywhere à cause de la vulnérabilité CVE-2023-0669, a été détecté en décembre 2022 alors qu’il utilisait une version Linux (bien que de manière limitée) de son rançongiciel. Le programme est légèrement différent de son homologue Windows (puisque certaines optimisations et techniques de défense n’existent pas) mais est adapté aux autorisations de Linux et aux types d’utilisateur. Il vise spécifiquement les fichiers de la base de données d’Oracle.
- Une nouvelle version du rançongiciel BlackBasta a été conçue spécifiquement pour attaquer les hyperviseurs ESXi. Le système de chiffrement se sert de l’algorithme ChaCha20 en mode multithread avec l’utilisation de plusieurs processeurs. Étant donné que les fermes de serveurs ESXi sont généralement multiprocesseurs, cet algorithme minimise le temps consacré au chiffrement de tout l’environnement.
- Peu de temps après son apparition, le groupe de cybercriminels Conti s’est équipé d’un rançongiciel qui cible ESXi. Malheureusement, comme grande partie du code de Conti a été divulgué, un large éventail de hackers ont désormais accès à leurs développements.
- Le rançongiciel BlackCat, écrit en Rust, peut aussi désactiver et supprimer les machines virtuelles ESXi. Par ailleurs, le code malveillant diffère peu de la version Windows.
- Le rançongiciel Luna, que nous avons détecté en 2022, a d’abord été multiplateforme puisqu’il pouvait s’exécuter sous les systèmes Windows, Linux et ESXi. Évidemment, le groupe LockBit pouvait difficilement ignorer cette tendance : il a aussi commencé à proposer des versions ESXi de ses programmes malveillants à ses associés.
- Quant aux attaques plus anciennes, mais malheureusement efficaces, on trouve les campagnes RansomEXX et QNAPCrypt, qui ont touché les serveurs Linux de première catégorie.
Les méthodes utilisées pour attaquer le serveur
L’accès aux serveurs Linux repose généralement sur l’exploitation de vulnérabilités. Les cybercriminels peuvent transformer en arme les vulnérabilités du système d’exploitation, des serveurs Web et d’autres applications basiques, mais aussi d’applications d’entreprise, de bases de données et de systèmes de virtualisation. Comme nous l’avons démontré l’an dernier avec Log4Shell, vous devez faire particulièrement attention aux vulnérabilités des composants open source. Après une faille initiale, plusieurs souches du rançongiciel utilisent d’autres astuces ou exploitent d’autres vulnérabilités pour élever les privilèges et chiffrer le système.
La protection des serveurs Linux est la priorité
Pour minimiser les risques d’attaques qui visent les serveurs Linux nous vous conseillons de :
- Corriger rapidement les vulnérabilités.
- Minimiser le nombre de ports et de connexions Internet ouverts.
- Déployer des outils de sécurité spécialisés sur les serveurs pour protéger le système d’exploitation ainsi que les machines virtuelles et les conteneurs hébergés sur le serveur. Lisez cet article pour en savoir plus sur la protection de Linux.