News - Logiciels Libres

RansomEXX : Une version Linux fait son apparition

| | Logiciels Libres | 4 Commentaires | 2140
RansomEXX : Une version Linux fait son apparition
Bonjour à tous,

La société Kaspersky a déclaré aujourd'hui avoir découvert une version Linux du logiciel de rançon RansomEXX. C'est à ce jour la première fois qu'un Ransomware (ou RançonLogiciel) Windows a été portée sur Linux ! (Je vous mets dans la description de l'article le lien).

RansomEXX est une version relativement nouvelle d'un Ransomware qui a été détectée pour la première fois aux alentours de Juin 2020.

Ce logiciel malveillant a été utilisé dans des attaques contre le ministère des transports du Texas, mais aussi dans le réseau de la STM.

RansomEXX est spécifique dans le sens où des chercheurs en sécurité appellent un «chasseur de gros gibier». En fait, ce Ransomware cherche à atteindre de grandes cibles à la recherche de gros gains, sachant que certaines entreprises ou agences gouvernementales ne peuvent pas se permettre de rester «en panne» pendant qu'elles récupèrent leurs systèmes. (Et donc forcer le paiement de la rançon).

On va juste parler un peu de la STM, dans cet article, parce que je les suis sur Twitter. Vous savez, je suis fan des transports en commun... :-) Et j'ai suivi avec attention leurs mésaventures...

ransomware-stm
https://twitter.com/stminfo/status/1321156740516356101



Dans le cas de la STM a été infectée le 20 Octobre 2020, premier communiqué sur Twitter : https://twitter.com/stminfo/status/1318380781690118158
La situation est revenue à la normale le 4 Novembre environ selon le dernier communiqué : https://twitter.com/stminfo/status/1324050880312856576

Infos sur le journal TVA Nouvelles https://www.tvanouvelles.ca/2020/10/20/un-virus-informatique-a-la-stm
Une rançon de 2,8M de Dollars a été réclamée https://www.tvanouvelles.ca/2020/10/29/rancon-de-28-m-us-reclamee-a-la-stm-1
Plus d'info chez TVA Nouvelles : https://www.tvanouvelles.ca/2020/10/30/la-stm-a-ete-infectee-par-hasard-via-un-courriel


Revenons à ce fameux RansomEXX... Ces groupes malveillants achètent des accès aux réseaux ou y pénètrent, essaient d'accéder au plus grand nombre de systèmes possible, puis déploient manuellement leur ransomware pour paralyser le plus possible l'infrastructure de la cible.

Depuis début 2020, si vous suivez les actualités «Sécurité», on a assisté à un changement dans la manière dont ces groupes opèrent.
En effet, les pirates ont réalisé qu'attaquer d'abord les postes de travail n'est pas si «rentable» que ça. En effet, en entreprise, on va reformater avec des images toute prêtes des systèmes infectés et à passer à autre chose sans payer la rançon. (Si besoin restaurer sur les partages réseaux les fichiers).

Alors les pirates ont compris. Au lieu de viser les postes de travail, ils ont avant tout cibler les serveurs cruciaux de l'entreprise (Active Directory, DNS, Serveur de fichiers, Sauvegardes). En effet, en détruisant d'abord ces systèmes, les entreprises ne pourraient donc pas accéder aux services touchés, même si les postes de travail sont encore fonctionnels !

Le groupe à la tête de RansomEXX a créé une version Linux de son logiciel de rançon en plus de celle pour Windows car un bon nombre d'entreprises aujourd'hui utilisent des serveurs sous Linux également, et pas toujours sous Windows Server.

Une version Linux est donc parfaitement logique du point de vue attaquant, puisqu'il cherche toujours à toucher le plus d'infrastructures dans le but de paralyser les entreprises et exiger des rançons plus élevées.

On revient donc toujours à la même conclusion : Les pirates touchent là où ça rapporte, quelque soit le système en face.

Ce que je constate avec RansomEXX, c'est que ça pourrait bientôt devenir une tendance qui va s'accentuer, avec de plus en plus de logiciels malicieux sous Linux, mais qui s'exécuteront après une intrusion ciblée dans les réseaux.

Selon l'Emsisoft (entreprise de cybersécurité), RansomEXX version Linux a déjà plusieurs variantes repérées depuis Juillet 2020.
Configurer ses systèmes antivirus pour détecter les variantes de RansomEXX n'est pas une bonne stratégie, en raison de la façon dont les «rançonneurs» opèrent.
En fait, au moment où les attaquants déploient le rançonlogiciel, ils sont déjà dans la plupart du réseau de l'entreprise. La meilleure stratégie que les entreprises peuvent adopter contre ce type d'intrusion consiste à sécuriser les routeurs, les équipements réseaux, pare-feux en appliquant les patchs de sécurité et surtout s'assurer de ne pas laisser une configuration par défaut ou des accès avec des mots de passe faible...

Donc, pour conclure, il ne faut pas se dire qu'on est invincible sous Linux !

Le lien de Kaspersky est dans les sources de cet article.

:merci: