Historiquement, les menaces de rançongiciels concernaient surtout les environnements Windows, mais avec la popularité croissante du système Linux dans les environnements professionnels, ces attaques se sont diversifiées, notamment sur les systèmes et les applications de virtualisation. Alors que les premiers échantillons de rançongiciels remontent à 1989, et ciblaient principalement les systèmes Windows, depuis 2015, une augmentation significative des rançongiciels ciblant Linux a été observée, notamment avec la prolifération des menaces depuis la crise de 2020.
Le paysage technologique évoluant, les rançongiciels sur les systèmes Linux gagnent du terrain. Une récente étude de Check Point Research (CPR), sur les rançongiciels ciblant les systèmes Linux et Windows, révèle une évolution significative dans les méthodes et cibles des cyberattaques. L'étude de CPR a analysé 12 familles de rançongiciels majeurs qui soit ciblent directement les systèmes Linux, soit possèdent des capacités multiplateformes leur permettant d'infecter aussi bien Windows que Linux.
Un bond de 150 % des attaques sur Linux
Au cours du premier semestre 2023, l’étude constate un bond de 150 % des attaques sur Linux. Selon l'étude, les rançongiciels les plus courants sur Linux sont ceux qui ciblent les vulnérabilités du système d'exploitation. Ces vulnérabilités peuvent être exploitées par les cybercriminels pour prendre le contrôle du système et chiffrer les données. Les rançongiciels peuvent également être distribués via des vecteurs d'attaque tels que les courriels malveillants, les téléchargements de logiciels piratés et les attaques par hameçonnage.Les experts de CPR ont constaté un intérêt croissant des attaquants pour les systèmes de virtualisation ESXi, utilisés dans de nombreux environnements d'entreprise. L'impact de ces attaques va au-delà du chiffrement, avec des commandes spécifiques pour interagir avec les systèmes ESXi. Les rançongiciels Linux favorisent OpenSSL et AES pour le chiffrement, offrant une uniformité relative parmi les différents acteurs de la menace.
De plus, si les attaques par rançongiciel sur Windows sont plus courantes, les attaques Linux peuvent être plus dévastatrices en raison de la nature des systèmes visés. Par exemple, une attaque réussie sur un seul serveur Linux peut affecter plusieurs machines virtuelles hébergées sur ce serveur, ce qui a un impact plus important.
Les rançongiciels Linux se distinguent par leur simplicité, se concentrant principalement sur le chiffrement des fichiers et dépendant fortement des configurations et scripts externes, ce qui rend leur détection difficile.
Les rançongiciels sur Linux ne priorisent pas la persistance
En effet, contrairement aux types d’attaques sur Windows, qui cherchent souvent à s'implanter durablement dans le système, les rançongiciels sur Linux ne priorisent généralement pas la persistance. Ils visent principalement les grandes organisations et les serveurs exposés, tandis que ceux ciblant Windows ont une portée plus générale, incluant les utilisateurs finaux. L'exfiltration de données sur Linux est souvent liée au vecteur d'infection initial, utilisant des outils légitimes pour extraire des informations.Les vecteurs d'infection diffèrent également entre les deux systèmes. Alors que les attaques sur Windows utilisent souvent des campagnes d’hameçonnage, celles sur Linux exploitent fréquemment des vulnérabilités dans des services exposés ou des serveurs. La publication du code source d’attaques réussies, comme le rançongiciel Babuk, a conduit à la création de nouvelles variantes par des groupes opportunistes.
L’utilisation accrue des systèmes Linux comme vecteur dans les attaques par rançongiciels reflète une tendance du marché où les attaquants cherchent à exploiter les infrastructures d'entreprise et de virtualisation, qui sont de plus en plus basées sur l’OS libre. Cette évolution montre une adaptation des tactiques des cybercriminels aux environnements technologiques changeants, soulignant la nécessité pour les entreprises de renforcer leur sécurité, tant sur Windows que sur Linux, pour protéger efficacement leurs actifs numériques contre ces menaces évolutives.