« Nous avons récemment découvert un nouveau cheval de Troie de chiffrement de fichiers construit comme un exécutable ELF et destiné à chiffrer des données sur des machines contrôlées par des systèmes d'exploitation basés sur Linux.
« Après l'analyse initiale, nous avons remarqué des similitudes dans le code du cheval de Troie, le texte des notes de rançon et l'approche générale de l'extorsion, ce qui suggérait que nous avions en fait rencontré une version Linux de la famille de ransomware RansomEXX. Ce malware est connu pour attaquer les grandes organisations et a été le plus actif au début de l'année.
« RansomEXX est un cheval de Troie pour des attaques très ciblées. Chaque échantillon du malware contient un nom codé en dur de l'organisation victime. De plus, l’extension de fichier crypté et l’adresse e-mail pour contacter les extorqueurs utilisent le nom de la victime ».
Le ransomware a été utilisé dans des attaques contre le Department of Transpor du Texas, Konica Minolta, l'entrepreneur du gouvernement américain Tyler Technologies, le système de transport en commun de Montréal et, plus récemment, contre le système judiciaire brésilien (STJ).
RansomEXX fait partie de ceux qui s'attaquent à de grosses cibles à la recherche de gros gains, sachant que certaines entreprises ou agences gouvernementales ne peuvent pas se permettre de rester en panne pendant qu'elles récupèrent leurs systèmes. Fin 2019, le FBI a publié un message d'intérêt public sur les ransomwares pour informer le public du nombre toujours croissant d'attaques contre des entreprises et des organisations à travers les États-Unis.
« Les attaques de ransomwares sont de plus en plus ciblées, sophistiquées et coûteuses, même si la fréquence globale des attaques reste cohérente. Depuis le début de 2018, l'incidence des campagnes de ransomwares à grande échelle et aveugles a fortement diminué, mais les pertes dues aux attaques de ransomwares ont considérablement augmenté, selon les plaintes reçues par IC3 [Internet Crime Complaint Center] et les informations sur les cas du FBI ».
Le FBI a observé des cybercriminels utilisant les techniques suivantes pour infecter les victimes avec un ransomware:
- Campagnes d'hameçonnage par e-mail : le cybercriminel envoie un e-mail contenant un fichier ou un lien malveillant, qui déploie un logiciel malveillant lorsque le destinataire clique dessus. Les cybercriminels ont toujours utilisé des stratégies de spam génériques et générales pour déployer leurs malwares, tandis que les récentes campagnes de ransomwares ont été plus ciblées. Les criminels peuvent également compromettre le compte de messagerie d'une victime en utilisant un logiciel malveillant précurseur, qui permet au cybercriminel d'utiliser le compte de messagerie d'une victime pour propager davantage l'infection.
- Vulnérabilités du protocole de bureau à distance : RDP est un protocole réseau propriétaire qui permet aux individus de contrôler les ressources et les données d'un ordinateur via Internet. Les cybercriminels ont utilisé à la fois des méthodes de force brute, une technique s'appuyant sur des essais, pour obtenir les informations d'identification des utilisateurs. Ils se sont aussi servis d'informations d'identification achetées sur les marchés du darknet pour obtenir un accès RDP non autorisé aux systèmes victimes. Une fois qu'ils ont un accès RDP, les criminels peuvent déployer une gamme de logiciels malveillants, y compris des ransomwares, sur les systèmes victimes.
- Vulnérabilités logicielles : les cybercriminels peuvent profiter des faiblesses de sécurité des programmes logiciels largement utilisés pour prendre le contrôle des systèmes victimes et déployer des ransomwares. Par exemple, des cybercriminels ont récemment exploité les vulnérabilités de deux outils de gestion à distance utilisés par les fournisseurs de services gérés (MSP) pour déployer des ransomwares sur les réseaux des clients d'au moins trois MSP.
CrowdStrike, une société de technologie de cybersécurité, a constaté qu'il y avait eu une augmentation significative des attaques de ransomware ciblant le « gros gibier » ; étant donné qu'ils savent que leurs victimes sont sensibles aux temps d'arrêt, elles seront alors plus susceptibles de payer une rançon, quel que soit le coût de cette rançon. Certaines cibles probables incluent :
- Les soins de santé
- Les entreprises dans l'industrie de la fabrication
- Les services gérés
- Les organismes gouvernementaux
Ils ont tendance à rechercher des secteurs qui dépendent de leur technologie de l’information.
Mais au cours de l'année écoulée, il y a eu un changement de paradigme dans le fonctionnement de ces opérateurs. Plusieurs d'entre eux ont réalisé qu'attaquer d'abord les postes de travail n'est pas une affaire lucrative, car les entreprises auront tendance à se servir d'images de sauvegardes des systèmes affectés afin de ne pas payer de rançon.
Ces derniers mois, dans de nombreux incidents, certains opérateurs de ransomwares n'ont pas pris la peine de chiffrer les postes de travail et ont avant tout ciblé des serveurs cruciaux à l'intérieur du réseau d'une entreprise, sachant qu'en s'attaquant à ces systèmes en premier, les entreprises ne pourraient pas accéder à leurs données.
Le fait que les opérateurs RansomEXX créent une version Linux du ransomware Windows est en phase avec cette façon de pensée, dans la mesure où de nombreuses entreprises peuvent disposer de systèmes internes sur Linux et pas toujours sur Windows Server. Du point de vue de l'attaquant, une version Linux est donc parfaitement logique puisqu'il cherche toujours à étendre et à toucher autant d'infrastructures de base que possible dans sa quête de paralyser les entreprises et d'exiger des rançons plus élevées.
Il ne serait donc pas surprenant de voir ce que les opérateurs de RansomEXX ont fait devenir une tendance déterminante dans l'industrie ; d'autres opérateurs de ransomwares pourraient déployer également des versions Linux à l'avenir.
Et ce mouvement semble déjà amorcé. Selon la société de cybersécurité Emsisoft, outre RansomEXX, les opérateurs derrière le ransomware Mespinoza (Pysa) ont également récemment développé une variante Linux à partir de sa version initiale de Windows. Selon Emsisoft, les variantes de RansomEXX Linux qu'ils ont découvertes ont été déployées pour la première fois en juillet.
Ce n'est pas la première fois que des opérateurs de malwares pensent à développer une version Linux de leurs logiciels malveillants. Nous pouvons par exemple citer le cas du malware KillDisk, qui avait servi à paralyser un réseau électrique en Ukraine en 2015. Cette variante rendait « les machines Linux impossibles à booter, après avoir chiffré des fichiers et demandé une grande rançon ». Elle disposait d’une version Windows et d’une version Linux, « ce qui est sans aucun doute quelque chose que nous ne voyons pas tous les jours », notaient les chercheurs d’ESET.
Source: Kaspersky, FBI