Les attaques contre les systèmes Linux se multiplient depuis plusieurs années. Un fournisseur de solutions de sécurité a donc mené une étude analysant et comparant les attaques de ransomwares sur Linux et Windows.
Les attaques de ransomware contre les systèmes Linux, en particulier les systèmes ESXi, ont considérablement augmenté ces dernières années. C'est pourquoi Check Point Research (CPR) se penche sur les subtilités de ces incidents et établit des comparaisons avec leurs homologues Windows. Historiquement, les menaces de ransomware ciblaient principalement les environnements Windows.
Cependant, le malware, qui vise à crypter les données de ses victimes, que les attaquants ne restituent ensuite généralement qu'en échange d'importantes rançons, est en constante évolution. Les ransomwares ciblant Linux deviennent de plus en plus importants. L'étude CPR analyse 12 familles de ransomwares connues qui ciblent directement les systèmes Linux ou qui disposent de capacités multiplateformes leur permettant d'infecter Windows et Linux sans discernement.
Forte augmentation des attaques de ransomwares sur les systèmes Linux depuis 2021
La publication du code source de Babuk en 2021 a joué un rôle crucial dans la propagation de diverses familles de ransomwares. Ceux destinés à Linux se caractérisent par leur relative simplicité par rapport à leurs homologues Windows. Bon nombre de ces menaces ciblant Linux s'appuient fortement sur la bibliothèque OpenSSL, ChaCha20/RSA et AES/RSA apparaissant comme les algorithmes de chiffrement les plus courants dans les échantillons analysés.
Un examen de l’évolution historique montre que le premier exemple identifiable de ransomware remonte à 1989 et affectait les systèmes Windows. Ce n'est qu'en 2015, avec Linux.Encoder.1, que les ransomwares spécifiques à Linux ont gagné du terrain. Malgré la sophistication des ransomwares dans les systèmes Windows, ce n’est que ces dernières années que les capacités ont été directement transférées vers Linux, comme en témoigne une augmentation significative des attaques depuis 2020.
L'étude CPR révèle une tendance à la simplification parmi les familles de ransomwares ciblant Linux. Les fonctionnalités de base sont souvent limitées à de simples processus de chiffrement qui s'appuient fortement sur des configurations et des scripts externes, ce qui les rend difficiles à détecter. L'étude met également en évidence des stratégies spécifiques axées principalement sur les systèmes ESXi et identifie les vulnérabilités des services exposés comme principaux vecteurs d'entrée.
Le ransomware Linux est stratégiquement adapté aux moyennes et grandes entreprises
En termes de typologie de cible et de victime, le ransomware Linux diffère considérablement de ses homologues Windows. Alors que Windows est principalement utilisé sur les ordinateurs personnels et les postes de travail des utilisateurs, Linux domine certaines implémentations de serveurs. Les ransomwares Linux se concentrent principalement sur les serveurs exposés ou sur ceux du réseau interne accessibles via des forks d'infections Windows.
Ce ciblage révèle une tendance claire : les ransomwares Linux sont stratégiquement adaptés aux moyennes et grandes entreprises, contrairement aux menaces plus générales posées par les ransomwares Windows. Les différentes structures internes des deux systèmes influencent également l'approche des attaquants en matière de sélection des dossiers et des fichiers à chiffrer. Les exemples orientés Linux évitent souvent les répertoires critiques pour éviter d'endommager le système. Cela met en évidence la nature ciblée et sophistiquée des ransomwares Linux par rapport à leurs homologues Windows.
En comparant les techniques de chiffrement des systèmes Windows et Linux, CPR constate un biais en faveur d'OpenSSL dans les ransomwares Linux, avec AES (Advanced Encryption Standard) comme pierre angulaire de chiffrement commune et RSA (Rivest-Shamir-Adleman) comme principal choix asymétrique. Cette cohérence entre les différents acteurs de la menace souligne l’évolution du paysage des cybermenaces.
Plus sur CheckPoint.com
À propos du point de contrôle Check Point Software Technologies GmbH (www.checkpoint.com/de) est l'un des principaux fournisseurs de solutions de cybersécurité pour les administrations publiques et les entreprises du monde entier. Les solutions protègent les clients contre les cyberattaques avec un taux de détection des logiciels malveillants, des rançongiciels et d'autres types d'attaques à la pointe du secteur. Check Point propose une architecture de sécurité multicouche qui protège les informations de l'entreprise sur le cloud, le réseau et les appareils mobiles, ainsi que le système de gestion de la sécurité « à un seul point de contrôle » le plus complet et le plus intuitif. Check Point protège plus de 100.000 XNUMX entreprises de toutes tailles.