Quand Linux et ESXi deviennent la cible des « Crypto Ransomware »

Aujourd'hui les experts en cybersécurité de MCG (Matias Consulting Group, basé à Louvain-la-Neuve en Brabant Wallon) se penchent sur une récente publication des services de « cyber intelligence » de la société Check Point (CPR : Check Point Research). Cette publication de la part de notre partenaire Check Point a particulièrement attiré notre attention. Analyse…
 

Crypto Ransomware à destination de l’OS Linux, mais pas que… 

Check Point, notre partenaire leader en solutions de cybersécurité, nous a communiqué une analyse historique et technique du développement récent des Crypto Ransomware à destination de l’OS Linux mais aussi de l’OS de virtualisation de VMware : ESXi.

N’hésitez pas à parcourir la publication en question, certes c’est un peu technique, mais cela vous permettra de plonger dans les méandres du coeur de la problématique:

https://research.checkpoint.com/2023/the-platform-matters-a-comparative-study-on-linux-and-windows-ransomware-attacks/

À plus d’un titre, cet article très fouillé satisfera la curiosité des plus passionnés de nos lecteurs mais quelques éléments critiques sont cependant interpellants et méritent d’être mis en lumière :

• La sophistication de ces maliciels à destination de Linux et d’ESXi est assez récente. Et ceci par rapport à ce qui avait déjà été développé pour Windows. Malgré tout, leur simplicité fait en sorte qu’il est très compliqué de les identifier, car ils se confondent avec des outils légitimes pour ces Operating Systems.
   
• Le vecteur de diffusion ou d’infection est très différent. Alors que pour les Crypto s’adressant à Windows, les emails de phishing et le « hacking » de sessions RDP exposées sont légion, concernant les Serveurs Linux, servant fréquemment de publication en production pour les applications exposées sur Internet, ils sont attaqués de front à travers leurs vulnérabilités non colmatées.
   
• La focalisation récente de ces malware sur ESXi fait craindre le pire, tant cette plateforme est utilisée comme hyperviseur dans la majorité des cas, créant ainsi un effet démultiplicateur d’un impact d’une attaque par chiffrement sur toutes les machines virtuelles que l’hyperviseur hébergerait !

Ces constats nous amènent donc à tirer les conclusions suivantes: 

• Si ce type d’attaque vise les OS de type Linux et ESXI à travers les vulnérabilités non colmatées, c’est que notamment les personnes responsables de leur maintenance n’effectuent pas toutes les tâches de manière régulière et rigoureuse. Rappelez-vous, c’était d’ailleurs un des reproches à l’encontre des OS Windows au début des années 2000 !
   
• Le « business model » d’une attaque par « CryptoRansomware », c’est partir du principe qu’on ne peut plus « restaurer » ses backups car soit ils n’existent pas, soit ils ont été corrompus par le « cryptoransomware » ou le hacker lui-même.

Ceci semble donc bien aussi s’appliquer pour tout ce qui tourne sur des OS Linux !

En conclusion finale, que ce soit Linux, ESXi ou Windows, quand il s’agit des problèmes et des risques, les bonnes pratiques en termes de cybersécurité semblent être les mêmes !

Vous êtes chef d’entreprise, expert IT, CTO, et vous souhaitez vous faire épauler et accompagner par une équipe expert depuis plus de 20 ans en IT et Cybersécurité ?

Vous souhaitez faire auditer votre stratégie cyber et faire un e-check-up de bonne sécurité de vos assets et backups ? 

Contactez MCG et nous nous ferons un plaisir de discuter avec vous des protocoles à mettre en place afin de vous garantir un avenir digital serein et apaisé. 

https://www.mcg.be/fr/contact