Les logiciels malveillants sous Linux augmentent, et les entreprises ne sont pas prêtes
Les cybercriminels ciblent de plus en plus les serveurs Linux et les infrastructures en cloud pour lancer des campagnes de ransomware, des attaques de cryptojacking et d’autres activités illicites. De nombreuses organisations se laissent aller à des attaques parce que l’infrastructure Linux est mal configurée ou mal gérée.
L’analyse des chercheurs en cybersécurité de VMware indique que les logiciels malveillants ciblant les systèmes basés sur Linux augmentent en volume et en complexité, tandis que la gestion et la détection des menaces à leur encontre font l’objet d’un manque d’attention. Ce constat intervient après une augmentation du recours des entreprises aux services basés sur le cloud en raison de l’essor du travail hybride, Linux étant le système d’exploitation le plus courant dans ces environnements.
Cet essor a ouvert de nouvelles voies que les cybercriminels peuvent exploiter pour compromettre les réseaux d’entreprise, comme l’explique en détail le document de recherche, notamment les attaques par ransomware et cryptojacking conçues pour cibler les serveurs Linux dans des environnements qui ne sont peut-être pas aussi strictement surveillés que ceux fonctionnant sous Windows.
REvil, DarkSide et Defray777 font partie des familles de ransomware
Ces attaques sont conçues pour avoir un impact maximal, les cybercriminels cherchant à compromettre le plus grand nombre possible d’éléments du réseau avant de déclencher le processus de cryptage et d’exiger une rançon pour la clé de décryptage.
Le rapport prévient que les ransomwares ont évolué pour cibler les images hôtes Linux utilisées pour faire tourner les charges de travail dans les environnements virtualisés, ce qui permet aux attaquants de chiffrer simultanément de vastes pans du réseau et de rendre la réponse aux incidents plus difficile. Les attaques contre les environnements en cloud amènent également les attaquants à voler des informations sur les serveurs, qu’ils menacent de publier si une rançon ne leur est pas versée.
Les familles de ransomware qui ont été vues en train de cibler les serveurs Linux dans des attaques incluent REvil, DarkSide et Defray777 et il est probable que de nouvelles formes de ransomware apparaissent qui ciblent également Linux.
Le cryptojacking et d’autres attaques de logiciels malveillants ciblent également de plus en plus les serveurs Linux. Les logiciels malveillants de cryptojacking volent la puissance de traitement des processeurs et des serveurs afin d’extraire des cryptomonnaies.
Les attaques contre tous les systèmes d’exploitation passent souvent inaperçues. Bien que les cryptojackers consomment de l’énergie et ralentissent potentiellement les systèmes, il ne s’agit généralement pas d’une fuite suffisamment perceptible pour causer des perturbations importantes.
Des cyberattaques relativement peu sophistiquées
L’application la plus courante utilisée pour extraire du Monero est le mineur open source XMRig, dont beaucoup sont installés sur des serveurs Linux. Si l’environnement Linux n’est pas correctement surveillé, le cryptojacking peut facilement passer inaperçu et les cybercriminels le savent.
« Les cybercriminels élargissent considérablement leur champ d’action et ajoutent à leur panoplie d’outils d’attaque des logiciels malveillants qui ciblent les systèmes d’exploitation basés sur Linux, afin de maximiser leur impact avec le moins d’efforts possible », a déclaré Giovanni Vigna, directeur principal de la veille sur les menaces chez VMware. Plutôt que d’infecter un PC et de se diriger ensuite vers une cible de plus grande valeur, les cybercriminels ont compris que la compromission d’un seul serveur peut rapporter gros.
La plupart des cyberattaques visant les environnements Linux sont encore relativement peu sophistiquées par rapport aux attaques équivalentes visant les systèmes Windows – ce qui signifie qu’avec une approche correcte de la surveillance et de la sécurisation des systèmes basés sur Linux, beaucoup de ces attaques peuvent être évitées.
Cela signifie qu’une approche correcte de la surveillance et de la sécurisation des systèmes basés sur Linux permet d’éviter bon nombre de ces attaques. Cela inclut des procédures d’hygiène en matière de cybersécurité, comme s’assurer que les mots de passe par défaut ne sont pas utilisés et éviter de partager un compte entre plusieurs utilisateurs.
« Concentrez-vous sur les éléments de base. Le fait est que la plupart des adversaires ne sont pas super avancés », a déclaré Brian Baskin, responsable de la recherche sur les menaces chez VMware. « Ils ne cherchent pas des exploits uniques, ils recherchent les vulnérabilités ouvertes générales et les mauvaises configurations. Concentrez-vous sur celles-ci avant de vous concentrer sur les attaques de type “zero-day” et les nouvelles vulnérabilités – assurez-vous d’abord de couvrir les bases », a-t-il ajouté.
Source : ZDNet.com
