Linux, en tant que système d’exploitation cloud le plus répandu, est un élément essentiel de l’infrastructure numérique.

Les contre-mesures utilisées jusqu’à présent se concentrent principalement sur les menaces basées sur Windows. C’est une erreur. Cela est dû à l’augmentation continue de la taille et de la sophistication des logiciels malveillants ciblant les systèmes d’exploitation basés sur Linux. VMware Threat Analysis Unit (TAU) a analysé les menaces Linux dans des environnements multicloud. Les outils les plus couramment utilisés par les attaquants sont : les logiciels de rançon, les logiciels de chiffrement et les outils d’accès à distance.

Vérifiez également :

« Les cybercriminels élargissent radicalement le champ d’opérations et incluent dans leur arsenal des logiciels malveillants qui ciblent les systèmes d’exploitation basés sur Linux. Il s’agit de maximiser l’efficacité du cambriolage avec un minimum d’effort », a déclaré Andrzej Szymczak, ingénieur principal des solutions chez VMware . Au lieu d’infecter des appareils (ordinateurs, ordinateurs portables, téléphones), c’est-à-dire des terminaux, pour atteindre directement une cible plus rentable, les cybercriminels ont découvert qu’une seule attaque sur le serveur peut générer d’énormes profits et garantir l’accès aux données, en particulier les données sensibles, et Puissance de calcul. Les clouds publics et privés sont d’une grande valeur pour accéder aux services d’infrastructure critiques et aux données confidentielles.

Principales conclusions du rapport :

• Les rançongiciels évoluent et ciblent les outils (tels que les hôtes) utilisés pour exécuter des charges de travail dans des environnements virtuels.

• 89 % des attaques de cryptojacking impliquent des bibliothèques liées à XMRig

• Plus de la moitié des utilisateurs de Cobalt Strike peuvent être des cybercriminels ou au moins utiliser l’outil illégalement.

Cibles de rançongiciels cloud

Une attaque de ransomware réussie sur le cloud peut avoir de graves conséquences.

De telles attaques se produisent également en Pologne, comme l’a démontré CD Projekt. Fonctionnement bidirectionnel – le cryptage et le vol de données augmentent les chances de profit rapide et important. Un nouveau phénomène apparaît : les rançongiciels basés sur Linux évoluent et ciblent également les outils utilisés pour exécuter différents types de logiciels dans des environnements virtuels.

Les pirates recherchent désormais des ressources plus précieuses dans les environnements cloud pour infliger un maximum de dégâts à la cible. Les exemples incluent la famille de rançongiciels Defray777, qui chiffre les images sur les serveurs ESXi, et le groupe de rançongiciels DarkSide, qui a paralysé les réseaux Colonial Pipeline, provoquant des pénuries d’essence aux États-Unis.

cryptojacking

Les cybercriminels à la recherche de revenus faciles ciblent souvent les crypto-monnaies. Les cybercriminels insèrent un mécanisme de vol de portefeuille dans le logiciel malveillant ou utilisent la puissance CPU capturée pour l’extraire dans une attaque connue sous le nom de cryptojacking. La plupart de ces attaques se concentrent sur l’extraction de Monero Currency (XMR).

VMware TAU a constaté que 89 % des crypto-monnaies utilisaient des bibliothèques liées à XMRig. Pour cette raison, lorsque certaines bibliothèques et modules XMRig sont détectés dans les binaires Linux, cela est probablement la preuve d’un piratage. VMware TAU note également que le contournement de la sécurité est la méthode d’attaque la plus couramment utilisée contre Linux. Malheureusement, ces programmes ne perturbent pas les environnements cloud comme les rançongiciels et sont donc difficiles à détecter.

Cobalt Strike – Outil d’attaque

Afin de prendre le contrôle et de survivre dans l’environnement, les cybercriminels tentent d’installer un implant dans le système, ce qui leur donne un contrôle partiel sur l’appareil. Les logiciels malveillants, les shells Web et les outils d’accès à distance (RAT) peuvent être utilisés sur le système affecté pour permettre l’accès à distance. L’un des principaux outils utilisés par les attaquants est Cobalt Strike, l’outil commercial de test de pénétration de l’équipe rouge, et la dernière version basée sur Linux, Vermilion Strike. Il s’agit d’une menace si omniprésente pour Windows que son extension Linux met en évidence les efforts des cybercriminels pour utiliser des outils facilement disponibles qui ciblent autant de plates-formes que possible.

Entre février 2020 et novembre 2021, l’équipe VMware TAU a découvert plus de 14 000 serveurs Cobalt Strike Team actifs en ligne. Le pourcentage combiné d’identifiants client Cobalt Strike brisés et divulgués est de 56 %, ce qui signifie que plus de la moitié des utilisateurs peuvent être des cybercriminels ou au moins utiliser Cobalt Strike illégalement. Le fait que les outils RAT soient des outils malveillants constitue une menace sérieuse pour les entreprises.

« Depuis notre analyse, il a été observé que davantage de types de rançongiciels comme Linux. Cela soulève la possibilité d’attaques supplémentaires qui pourraient exploiter les vulnérabilités de Log4j par exemple », a déclaré Piotr Kraś, directeur principal de l’ingénierie des solutions chez VMware . « Les conclusions du rapport peuvent être utilisées pour mieux comprendre la nature des logiciels malveillants basés sur Linux et atténuer la menace croissante des ransomwares, du chiffrement et des RAT sur les environnements multicloud. Les attaques cloud continuent d’évoluer, nous devons donc adopter une approche Zero Trust pour intégrer la sécurité à travers l’infrastructure et s’attaquer systématiquement aux vecteurs de menace qui créent la surface d’attaque.

Vous voulez en savoir plus sur Zero Trust ? Nous vous invitons à écouter deux épisodes éditoriaux spéciaux de Computerworld Tech Trends : « Trust Zero – There Will Be No Different Truth » et « Security ? Let’s Get to Work… »