Linux : vive les ransmwares et le cryptojacking

Linux est essentiel dans les infrastructures et représente donc une cible de choix pour les cybercriminels désireux de s’introduire dans des environnements multi cloud.  Actuellement, les solutions de protection contre les malwares disponibles concernent principalement les systèmes Windows, laissant ainsi une grande partie des clouds publics et privés à la merci des menaces qui ciblent les workloads Linux.

VMware publie un rapport sur ces menaces, intitulé « Exposing Malware in Linux-Based Multi-Cloud Environments ». Celui-ci détaille l’utilisation croissante par les cyberscriminels de malwares ciblant les systèmes d’exploitation Linux.

En voici les principales conclusions :
• Les ransomwares évoluent pour cibler les images systèmes utilisées pour lancer des workloads dans des environnements virtualisés ;
• 89 % des attaques de cryptojacking utilisent des librairies dérivées de XMRig ;
• Plus de la moitié des utilisateurs de Cobalt Strike seraient potentiellement des cybercriminels, ou utiliseraient Cobalt Strike de manière illicite.

« Les cybercriminels sont en train de considérablement étendre leur champ d’action et ajoutent à leur arsenal des logiciels malveillants ciblant des systèmes Linux pour faire un maximum de dégâts sans augmenter leur effort », déclare Giovanni Vigna, Senior Director Threat Intelligence chez VMware. « Au lieu d’attaquer un point d’entrée (endpoint) et de se déplacer vers une cible plus importante, les cybercriminels ont découvert que la compromission d’un seul serveur pouvait être largement plus intéressante et rentable, tout en leur permettant d’accéder à ce qu’ils recherchent. Les pirates considèrent les Clouds publics et privés comme des cibles de choix, car ils donnent la possibilité d’accéder à des services d’infrastructures critiques pour les organisations et à des données confidentielles. Malheureusement, les moyens actuels de défense se focalisent essentiellement sur les menaces pour les systèmes Windows, ce qui laisse une grande partie des Cloud public et privé à la merci de ces attaques. »

Les cybercriminels à la recherche de gains rapides ciblent souvent des cryptomonnaies en choisissant parmi deux grandes approches : en incluant des fonctionnalités permettant de voler des portefeuilles dans des scripts malveillants, ou en monétisant des processeurs piratés afin de cibler des cryptomonnaies (cryptojacking), la plupart du temps du Monero (ou XMR). La division TAU de VMware a ainsi découvert que 89 % des cryptomineurs utilisaient des librairies issues de XMRig. En d’autres termes, l’identification de librairies et modules spécifiques à XMRig dans des binaires Linux est très souvent la preuve de comportements malveillants. La division TAU a également pu observer que les cryptomineurs sont particulièrement agiles lors d’attaques ciblant des systèmes Linux. Toutefois, le cryptojacking ne perturbant pas totalement le fonctionnement des environnements Cloud à l’image des ransomwares, ce type d’attaque est bien plus difficile à détecter.


Pour prendre le contrôle et s’imposer dans un environnement, les attaquants cherchent à installer un implant, à se greffer sur un système compromis, afin d’en prendre partiellement le contrôle. Les logiciels malveillants, webshells et outils d’accès à distance RAT (Remote Access Trojan) font tous partie de l’arsenal mobilisé pour arriver à leurs fins. L’un des implants les plus utilisés par les assaillants est Cobalt Strike, un outil commercial conçu pour les tests d’infiltration et les exercices des équipes de sécurité informatique. Il s’agit d’une variante récente de l’outil Vermilion Strike basé sur Linux. Puisque Cobalt Strike représente déjà une menace très répandue sur Windows, son expansion à Linux témoigne de la volonté des criminels d’utiliser des outils facilement accessibles et ciblant un maximum de plateformes.