Les attaques de ransomware sur les environnements Multicloud basés sur Linux augmentent à la fois en volume et en sophistication, selon une étude de Vmware.
Aucun système d’exploitation n’est épargné par les cyberattaquants ! Le dernier rapport de Vmware, « Exposing Malware in Linux-Based Multi-Cloud Environments », détaille la menace croissante des ransomwares sur les plateformes Multicloud, reposant presque exclusivement sur Linux.
Ces dernières années, la plupart des contre-mesures visant à lutter contre ces codes malveillants ont été axées sur le système d'exploitation Windows. Mais cette approche n’est plus adaptée au contexte. GNU-Linux est en effet devenu le principal système d'exploitation pour de nombreux calculs dans le cloud.
Des outils utilisés sous Windows
Ce manque d'intérêt est également apparu à un moment où les ransomwares sur Linux deviennent plus sophistiqués, mais n'atteignent pas encore le niveau de sophistication de ceux sous Windows.
Comment procèdent les attaquants ? Les attaques sont devenues ciblées au lieu d'être opportuniste, et les nouveaux ransomwares qui ciblent les images de l'hôte se sont révélés illusoires face aux contre-mesures.
Selon ce rapport, les « failles » n’ont rien d’original ou de sophistiqué. Dans la plupart des cas, les attaquants utilisent des outils facilement disponibles qui ont été déployés dans des attaques sous Windows par le passé, comme Cobalt Strike, un outil d'accès à distance bien connu.
Considérés par les entreprises comme indispensables au développement de leur activité, les conteneurs sont la cible des pirates. Une cible souvent mal sécurisée… ou gérée dans la précipitation comme le soulignait une enquête mondiale menée par O'Reilly…
Une authentification faible et des configurations erronées dans les infrastructures basées sur des conteneurs, comme Kubernetes, Container Linux et Photon OS, sont deux des principaux moyens dont ils disposent pour s'infiltrer dans les environnements basés sur le cloud.
Analyse dynamique et surveillance continue
Une fois à l'intérieur de l'environnement, les attaquants mettent souvent en œuvre un programme de ransomware qui oblige l'organisation à payer pour accéder à ses données ou prendre le contrôle de sa plateforme, ou bien les services du cloud sont redirigés à des fins de cryptomining.
Dans le second cas, l'unité d'analyse des menaces de Vmware a constaté que la cryptomonnaie Monero, tristement célèbre pour son système de paiement difficile à suivre, était la « monnaie » que 89 % des attaquants minaient sur les cycles CPU volés.
Un point positif est que Linux dispose de nombreux outils, tels que l'analyse dynamique et la surveillance continue de l'hôte. S'ils sont correctement activés, ils devraient empêcher les ransomwares d'infecter une organisation, ou au moins les avertir lorsqu'elles ont été compromises.
Renforcer sa capacité à identifier ces menaces
Pour Vmware, les fournisseurs de services basés sur le cloud computing doivent sensibiliser les clients et les organisations aux risques accrus et promouvoir des fonctions de sécurité et de gouvernance intelligentes afin de réduire les risques d'attaques de ransomwares et de « crypto jacking ».
« Les organisations doivent renforcer leur capacité à identifier et à se défendre contre ces types d'attaques », indique l'unité d'analyse des menaces de Vmware dans le rapport.
« Compte tenu de la nature distribuée, dynamique et hétérogène des charges de travail et des réseaux d'entreprise actuels, les organisations doivent étendre la télémétrie à l'ensemble de l'infrastructure. Les organisations pourront ainsi mieux surveiller le trafic et identifier les comportements anormaux afin d'atténuer l'impact des attaques sur l'entreprise, tout en augmentant l'efficacité globale et en réduisant les coûts opérationnels. »