Une tendance la simplification : L’analyse de CPR rvle une tendance marque la simplification au sein des familles de ransomwares qui ciblent Linux, des fonctions essentielles rduites des processus de chiffrement de base qui permettent ces menaces d’tre imperceptibles et difficiles dtecter.
Aperus du chiffrement : Un examen comparatif des techniques de chiffrement entre Windows et Linux rvle une prfrence pour les algorithmes ChaCha20/RSA et AES/RSA dans les ransomwares sur les systmes Linux.
Une rcente tude mene par Check Point Research (CPR) examine de manire approfondie les attaques de ransomware sur les systmes Linux et Windows et rvle l’volution des tendances en matire de cybermenaces. Face la recrudescence des attaques de ransomware sur les systmes Linux ces dernires annes (notamment sur les systmes ESXi), CPR analyse les dtails de ces incidents et tablit des comparaisons avec leurs quivalents sous Windows.
Historiquement, les menaces de ransomware concernaient surtout les environnements Windows. Cependant, le paysage voluant, les ransomwares sur les systmes Linux gagnent du terrain. L’tude de CPR analyse 12 familles de ransomware majeurs qui soit ciblent directement les systmes Linux, soit possdent des capacits multiplateformes leur permettant d’infecter aussi bien Windows que Linux.
La publication du code source de Babuk en 2021 a jou un rle essentiel dans la prolifration de plusieurs familles de ransomwares. Une des particularits des ransomwares sur les systmes Linux est leur relative simplicit par rapport leurs homologues Windows. Nombre de ces menaces axes sur Linux dpendent en grande partie de la bibliothque OpenSSL. ChaCha20/RSA et AES/RSA semblent tre les algorithmes de chiffrement les plus rpandus dans les chantillons analyss.
Si l’on examine l’volution historique des ransomwares, le premier chantillon identifiable remonte 1989 et affectait les systmes Windows. Ce n’est qu’en 2015, avec Linux.Encoder.1, que les ransomwares spcifiques Linux ont gagn du terrain. Mme si les ransomwares sont bien tablis dans les systmes Windows, leurs capacits n’ont t intgres Linux que rcemment, marques par une forte hausse des attaques partir de 2020.
Figure 1 – Familles de ransomwares sur les systmes Linux
Figure 2 – Familles de ransomwares sur les systmes Windows
L’tude de CPR rvle une tendance la simplification des familles de ransomwares sur les systmes Linux. Les fonctions essentielles se rduisent souvent des processus de chiffrement de base et dpendent en grande partie de configurations et de scripts externes, rendant leur dtection difficile et fastidieuse. L’tude souligne galement certaines stratgies particulires, notamment en ce qui concerne les systmes ESXi, et indique que les vulnrabilits des services exposs reprsentent les principaux vecteurs d’intrusion.
Le ransomware sur les systmes Linux est conu de manire stratgique pour les moyennes et grandes entreprises.
Les ransomwares sur les systmes Linux diffrent considrablement de leurs homologues Windows en termes de cible et de typologie des victimes. Les ordinateurs personnels et les postes de travail des utilisateurs sont largement quips de systmes d’exploitation Windows, mais c’est Linux qui prdomine dans certains dploiements de serveurs. Les ransomwares sur les systmes Linux se concentrent principalement sur les serveurs accessibles au public ou sur ceux du rseau interne, souvent en profitant des vulnrabilits causes par des infections Windows. Cette situation tmoigne d’une tendance manifeste : les ransomwares sur les systmes Linux sont adapts de faon trs stratgique aux moyennes et grandes entreprises, contrairement aux menaces plus gnralises que reprsentent les ransomwares sur Windows. Les structures internes propres aux deux systmes influencent galement les approches des attaquants dans le choix des dossiers et des fichiers chiffrer. Les chantillons Linux contournent souvent les rpertoires sensibles pour viter toute altration du systme. Voil qui confirme le caractre cibl et complexe des ransomwares sur les systmes Linux compar leurs quivalents sur Windows.
Aprs avoir compar les techniques de chiffrement entre les systmes Windows et Linux, CPR montre une tendance privilgier OpenSSL dans les ransomwares sur les systmes Linux, qui recourt gnralement au chiffrement AES comme base et privilgie le RSA pour le chiffrement asymtrique. Cette homognit entre les diffrents acteurs de la menace tmoigne de l’volution du paysage des cybermenaces.
La plateforme compte : tude comparative des attaques de ransomware sous Linux et Windows
Check Point Research (CPR) prsente une tude de cas de certaines des plus rcentes attaques de ransomware ciblant les systmes Linux et ESXi, qui se sont multiplies au cours des dernires annes. Bien que les menaces de ransomware similaires dans les environnements Windows soient connues depuis longtemps, les versions ciblant Linux sont encore relativement simples. La publication du code source de Babuk en 2021 a clairement facilit l’mergence d’une multitude de familles de ransomwares. Beaucoup de ces familles qui ciblent Linux utilisent largement la bibliothque OpenSSL ainsi que les algorithmes ChaCha20/RSA et AES/RSA.
Au cours des derniers mois, CPR a men une tude sur certaines des principales familles de ransomwares (12 au total) qui ont soit dvelopp des ransomwares directement pour les systmes Linux, soit ont t dvelopps dans des langages ayant une forte composante multiplateforme, tels que Golang ou Rust, ce qui leur permet d’tre compils indiffremment pour Windows et Linux.
Les principaux objectifs taient de mieux comprendre les principales motivations qui poussent dvelopper des ransomwares ciblant Linux plutt que les systmes Windows, qui ont toujours t la cible principale jusqu’ prsent. Il a galement t question d’identifier les principales similitudes et diffrences entre les ransomwares dvelopps par ces familles et de les comparer aux ransomwares dvelopps pour les systmes Microsoft.
Bref historique
Pour comparer les familles de ransomware dveloppes pour Linux et celles ciblant Windows, il faut d’abord se pencher sur l’volution historique des deux systmes.
Pour commencer, il convient de noter que le premier chantillon de ransomware attribuable (bien qu’ un stade trs prcoce) remonte 1989. Cette menace, connue sous le nom de SIDA, se propageait par le biais de disquettes et ciblait les systmes Windows.
Il a fallu attendre GPCode en 2004 pour voir apparatre les premires familles de logiciels malveillants qui ressemblent vraiment ce que nous avons l’habitude de voir aujourd’hui lorsque nous parlons de ransomware. Toutes ces familles se sont concentres sur les environnements Windows, et la menace des ransomwares a rapidement commenc voluer, avec par exemple des schmas de chiffrement amliors, comme ceux d’Archiveus en 2006, ou l’apparition de Reveton en 2012 en tant que premier RaaS.
Ce n’est qu’en 2015, avec Linux.Encoder.1, que les familles de ransomwares ont commenc se concentrer spcifiquement sur Linux. cette poque, ces menaces taient dj trs dveloppes pour les systmes Windows. Malgr le niveau de maturit de ces menaces sous Windows, la ralit est que, bien des gards, cela ne s’est pas traduit par un transfert direct de toutes ces capacits vers Linux. Au lieu de cela, nous avons constat que ces menaces subissaient les mmes tapes d’volution dans ces autres systmes.
En fait, bien qu’il y ait dj eu des ransomwares pour Linux en 2015, ils sont rests relativement insignifiants jusqu’ ces dernires annes, lorsque la prolifration de ces menaces a commenc se faire sentir. partir de 2020 et jusqu’ aujourd’hui, on constate une augmentation inquitante de l’intrt des attaquants pour ces systmes, avec l’apparition de versions Linux des principaux RaaS et d’chantillons multiplateformes dvelopps dans des langages tels que Golang ou Rust.
Aperu technique
Parmi les familles qui ciblent actuellement les systmes d’exploitation bass sur Linux, CPR a analys quelques-unes des plus rcentes :
- Maori
- Cl0p
- Cylance
- Royal
- ViceSociety
- IceFire
- BlackCat
- ESXiArgs
- Rorschach
- Monti
- LockBit
- GwisinLocker
L’une des premires choses qui ressort des chantillons analyss est la mesure dans laquelle l’outil lui-mme est simplifi dans de nombreux cas, ne laissant que des capacits et un contenu minimaux dans le binaire et, dans certains cas, les rduisant uniquement au code de cryptage du fichier. L’chantillon est donc trs dpendant de configurations externes, de scripts ou de lignes de commande pour configurer ses cibles. L’un des exemples les plus remarquables est Cl0p, qui ne possde que la capacit de chiffrement, et le seul paramtre qu’il prend en charge est un chemin d’accs chiffrer.
Dans la famille de ransomwares appele « ESXiArgs », le binaire lui-mme n’intgre mme pas la cl publique RSA, mais a besoin du chemin d’accs un fichier contenant la cl en tant que paramtre pour pouvoir effectuer le chiffrement. Cet chantillon n’a mme pas la capacit de chiffrer un rpertoire entier ; l’attaquant doit passer en revue chaque fichier l’aide d’un script excutant le chiffreur. En fait, le nom du logiciel malveillant a t donn en raison des TTP des acteurs qui utilisent ce logiciel malveillant, qui est trs orient vers ce type de systme, bien que les capacits du binaire lui-mme soient totalement gnriques.
De nombreux ransomwares orients vers Linux ont si peu de logique en dehors de la capacit de cryptage qu’il peut tre difficile de les dtecter, car tout leur code est bas sur le mme code cryptographique que de nombreuses autres applications lgitimes peuvent contenir. Un protocole de communication avec un serveur, l’excution de certaines commandes pour prparer le systme au chiffrement, la capacit de crer une certaine forme de persistance (que l’on trouve dans un grand nombre des familles Windows les plus actives) ou mme une configuration intgre sont, dans de nombreux cas, des lments anormaux qui pourraient permettre des dtections plus labores des logiciels malveillants, mais qui n’existent pas dans la plupart de ces familles de ransomwares.
Bien sr, il y a quelques exceptions, comme BlackCat, qui est un chantillon multiplateforme et possde des fonctionnalits spcifiques Windows, comme la suppression des copies d’ombre ou la recherche de dossiers partags. Ou encore GwisinLocker, qui dispose d’une configuration chiffre intgre qui lui permet de fonctionner sans avoir besoin de paramtres et d’agir de manire plus indpendante.
La motivation principale et la plus notable est sans aucun doute l’intrt particulier pour les systmes de virtualisation ESXi. En effet, en s’attaquant ces systmes, les attaquants peuvent avoir un impact considrable sur de multiples services et machines (tous virtualiss l’aide de cette technologie) en se concentrant uniquement sur ce serveur ESXi au lieu d’essayer de pivoter sur plusieurs ordinateurs et serveurs diffrents fonctionnant sous Windows. C’est probablement la raison pour laquelle la grande majorit des familles de ransomwares ciblant Linux, bien qu’ayant trs peu de capacits en dehors du chiffrement lui-mme, ont tendance excuter des commandes spcifiques visant interagir avec les systmes ESXi, en particulier :
Il est important de souligner que les systmes ESXi n’tant pas exactement les mmes que les systmes Linux, les diffrents chantillons publis contiennent les bibliothques ncessaires lies statiquement afin qu’ils puissent fonctionner indpendamment sur les deux systmes. CPR a galement trouv des exemples de la mme famille compils spcifiquement pour chacun des diffrents systmes.
Toutes les familles centres sur Linux ont en commun de se concentrer sur des technologies spcifiques, lies principalement au principal chemin d’infection de ce type de menace dans ces systmes. Contrairement ce quoi nous sommes habitus dans les familles qui ciblent Windows, comme Ryuk ou REvil, dont les intrusions sont souvent inities par des campagnes d’hameonnage auprs de nombreux utilisateurs, l’une des chanes d’infection les plus courantes pour Linux consiste exploiter une vulnrabilit dans un service expos des serveurs de la victime. C’est galement vrai pour les vulnrabilits dans ESXi, mais il y a aussi d’autres cas, comme IceFire qui exploite une vulnrabilit dans une technologie IBM (CVE-2022-47986) ou Cl0p dont la version Linux a parmi ses rpertoires cibles plusieurs chemins lis aux bases de donnes Oracle en plus des chemins gnriques d’un systme Linux.
Vecteur d’infection
Dans l’environnement Windows, les auteurs de ransomwares utilisent un large ventail de vecteurs d’infection pour pntrer dans les systmes. La plupart des ransomwares les plus agressifs ciblant Windows atteignent l’infrastructure de la victime par le biais de courriels d’hameonnage contenant des pices jointes malveillantes (utilisant gnralement des macros l’intrieur de documents) ou des liens. Par exemple, Emotet tait souvent la charge utile initiale, et l’infection complte de l’infrastructure de la victime se terminait par le dploiement d’un chantillon de Ryuk ou de Sodinokibi.
Outre les courriels d’hameonnage, l’utilisation de kits d’exploitation tels que Rig et Magnitude pour exploiter les vulnrabilits de logiciels tels que les navigateurs ou les plugins a conduit par le pass l’excution de ransomwares (beaucoup moins frquents aujourd’hui).
Un autre vecteur d’infection courant est l’exploitation ou le forage brutal de serveurs RDP (Remote Desktop Protocol) exposs l’internet.
En essayant d’effectuer la mme analyse en ce qui concerne les familles de ransomware dveloppes pour les systmes Linux, on constate rapidement que le scnario change. Nombre de ces systmes sont dploys dans le but d’excuter des services exposs l’internet, des services dont les vulnrabilits s’avrent finalement particulirement critiques, car elles peuvent permettre d’accder au rseau d’une organisation.
L’exploitation des vulnrabilits trouves sur les services exposs est l’un des principaux moyens d’infection des ransomwares. Il convient de noter que la chane d’excution dans ces cas implique souvent le dploiement d’un Webshell qui finit par tre l’outil qui leur permet initialement d’accder au serveur en question et d’en prendre le contrle.
L’obtention d’un accs l’aide d’informations d’identification voles, par exemple en utilisant SSH, est un autre domaine en pleine expansion. Les informations d’identification sont souvent voles la suite de fuites causes par d’autres infections par des logiciels malveillants ou la suite d’un mouvement latral par la mme infection qui implique l’ensemble du rseau de systmes Windows.
Dans ces cas, la dtection au sein des systmes Linux est trs complique, car les attaquants utilisent souvent des comptes systme internes et des outils lgitimes pour accder aux systmes au lieu de portes drobes, ce qui a un impact trs similaire l’utilisation de LoLbins sur les systmes Windows.
Une autre entre courante dans les systmes Linux est similaire ce qui se passe dans les systmes Windows avec le service RDP, l’analyse des diffrents services exposs et les attaques par force brute qui s’ensuivent pour tenter d’accder aux serveurs l’aide d’informations d’identification faibles. Il s’agit d’une technique beaucoup plus « bruyante », mais toujours efficace, et qui devient difficile identifier puisque l’accs se fait au moyen d’informations d’identification lgitimes obtenues auprs du service expos lui-mme.
Il est intressant de noter que, si l’on se concentre sur tous les vecteurs d’infection courants pour les serveurs Linux, chaque modle cible les serveurs exposs et les services critiques. Une fois de plus, on constate que les attaques de ransomware ciblant Linux sont beaucoup plus axes sur les organisations et les entreprises que sur les utilisateurs gnraux.
Rutilisation du code
Comme dans de nombreuses familles de logiciels malveillants d’autres types de menaces (comme Mirai ou Quasar), ds que le code source d’une menace russie est publi, d’autres groupes opportunistes apparaissent rapidement et tentent de tirer parti de ce code pour crer leurs propres outils par le biais de petites modifications (et dans certains cas, pas si petites que cela). Dans le cas des ransomwares Linux, le plus notable est le ransomware Babuk, dont on trouve, parmi beaucoup d’autres, les chantillons Cylance ou Rorschach.Rutilisation du code
Comme dans de nombreuses familles de logiciels malveillants d’autres types de menaces (comme Mirai ou Quasar), ds que le code source d’une menace russie est publi, d’autres groupes opportunistes apparaissent rapidement et tentent de tirer parti de ce code pour crer leurs propres outils par le biais de petites modifications (et dans certains cas, pas si petites que cela). Dans le cas des ransomwares Linux, le plus notable est le ransomware Babuk, dont on trouve, parmi beaucoup d’autres, les chantillons Cylance ou Rorschach.
Outre le problme que ce fait implique, puisque de nombreux acteurs disposant de moins de ressources ou de capacits techniques obtiennent rapidement un outil fonctionnel, nous avons au moins l’avantage que, dans de nombreux cas, la dtection de l’outil initial peut nous permettre de dtecter toutes les sous-familles qui peuvent apparatre partir de ce code source.
Persistance dans le systme
La persistance n’est pas un facteur aussi important pour les ransomwares que pour d’autres types de menaces, car une fois que les fichiers et les rpertoires de la victime sont crypts, une autre excution dans le mme systme n’a gure de sens. Toutefois, la chane d’excution de ce type de logiciel malveillant a considrablement volu, en particulier dans les environnements Windows, car l’objectif n’est pas de chiffrer un seul ordinateur mais de se propager d’autres. Dans la plupart des cas, l’objectif des attaquants est de compromettre l’ensemble de l’infrastructure petit petit. Une fois qu’ils ont pris le contrle, toute la fort AD est chiffre, par exemple au moyen d’un GPO, ou les ordinateurs les plus critiques sont chiffrs afin d’augmenter les chances des attaquants de recevoir le paiement de la ranon.
Avant l’excution du ransomware, toute une srie de menaces et d’outils permettant aux attaquants d’accder aux systmes est excute. Ceux-ci ncessitent une certaine persistance, car la compromission de l’ensemble de l’infrastructure peut prendre beaucoup de temps. Cependant, bien qu’il s’agisse du scnario le plus courant, il existe des cas o la menace elle-mme a sa propre capacit tablir une persistance.
Dans les environnements Windows, les ransomwares parviennent persister par diffrents moyens. Les exemples les plus notables sont la manipulation du registre, comme dans le cas de WannaCry et Ryuk, qui garantit l’excution de leurs charges utiles au dmarrage du systme, ainsi que l’utilisation de tches planifies, comme dans le cas de nombreux acteurs de la menace derrire Sodinokibi (REvil), qui a tir parti du planificateur de tches de Windows pour crer des tches malveillantes, garantissant l’excution du ransomware intervalles rguliers.
Un autre moyen courant d’obtenir une persistance sur les systmes Windows est la cration de services, qui est la plus restrictive car elle ncessite des autorisations d’administrateur sur l’ordinateur de la victime, mais qui est l’une des plus couramment utilises des stades plus avancs de l’infection, lorsque les attaquants ont dj obtenu les informations d’identification ncessaires et qu’ils ont un certain contrle sur l’infrastructure.
Dans les systmes ESXi et Linux, il est beaucoup moins courant de voir des ransomwares employer bon nombre des mthodes connues de persistance habituellement exploites par d’autres types de menaces. Aprs l’accs, le serveur vulnrable est directement chiffr et, dans de nombreux cas, comme Lockbit, ESXiArgs, BlackCat ou Gwisin, le logiciel malveillant a la capacit de s’autodtruire aprs l’excution.
Le dploiement de Webshells dans le cadre du processus d’infection doit galement tre considr comme un moyen de maintenir la persistance. Les Webshells agissent comme des portes drobes et permettent aux acteurs de maintenir l’accs ces serveurs aprs un redmarrage ou une modification quelconque. Dans les scnarios o les serveurs sont accessibles par dplacement latral au cours d’une compromission plus complexe, la persistance dans ce cas se rduit principalement la cration de comptes d’utilisateurs ou l’exfiltration des informations d’identification originales du serveur, ce qui permet aux attaquants de maintenir l’accs par le biais de services lgitimes tels que SSH.
Enfin, compte tenu de la nette volution des incidents lis aux systmes Linux par rapport aux systmes Windows, le dploiement de portes drobes telles que Merlin ou Posidon, l’instar de ce qui se passe actuellement sous Windows avec Cobalt Strike, deviendra tt ou tard plus courant. Par consquent, les attaquants doivent tirer parti de techniques plus semblables celles que nous voyons dans les systmes Windows, telles que les tches Cron (l’quivalent du planificateur de tches de Windows) ou les excutions telles que les Daemons (quivalents des services de Windows), pour gagner en persistance.
Objectifs principaux
En ce qui concerne la typologie des victimes et les cibles des ransomwares orients vers Linux, on constate certaines des plus grandes diffrences par rapport leurs homologues Windows. Tout d’abord, il faut tenir compte du contexte dans lequel se trouve chacun de ces systmes. Windows est plus rpandu dans les ordinateurs personnels des particuliers et dans les postes de travail des utilisateurs de la plupart des organisations. En revanche, dans le domaine des serveurs, la situation n’est pas aussi claire, notamment pour certains types de dploiements utilisant Linux, qui est souvent la seule option efficace.
En d’autres termes, s’il est facile de trouver plusieurs familles de ransomwares pour Windows ciblant les particuliers et les postes de travail, c’est beaucoup moins frquent pour les systmes Linux. Les ransomwares ciblant Linux sont beaucoup plus clairement orients vers les serveurs exposs ou les serveurs du rseau interne auxquels on accde en pivotant partir d’infections inities sur des machines Windows.
Par consquent, les ransomwares Linux sont clairement destins aux moyennes et grandes organisations par rapport aux menaces Windows, qui sont de nature beaucoup plus gnrale.
De mme, la structure interne des deux systmes entrane galement des diffrences dans la manire dont les attaquants abordent la slection des dossiers et des fichiers chiffrer. De nombreux chantillons orients vers Linux contiennent des listes visant viter les rpertoires tels que /boot, /etc ou /sys qui pourraient entraner la corruption du systme, tout comme les logiciels malveillants Windows ont l’habitude d’viter les rpertoires ou.
En l’absence d’une configuration contenant des cibles dans les logiciels malveillants Windows, ceux-ci parcourent sans distinction tous les disques du systme. Dans les logiciels malveillants Linux, il est beaucoup plus courant de trouver des menaces totalement dpendantes d’un paramtre ou d’une configuration qui fournit un ou plusieurs rpertoires cibles, sans lesquels la menace ne s’excute pas. Royal, Monti, Cylance ou Lockbit en sont des exemples.
La diffrence de gestion des extensions entre Linux et Windows gnre galement des comportements curieux de la part des attaquants. C’est le cas de Cl0p qui utilise les caractres « . » pour tenter de diffrencier les fichiers des dossiers. C’est trs efficace sous Windows, mais cela ne fonctionne pas ncessairement bien sous Linux, tant donn le peu d’importance que les extensions ont dans ce systme.
En tout tat de cause, si beaucoup d’entre elles sont totalement dpendantes d’un paramtre indiquant au moins un chemin chiffrer, celui-ci n’est pas prsent dans toutes les familles, et pour d’autres chantillons, il est un fait remarquable qu’en dehors de cas trs spcifiques pour des chemins lis ESXi ou CL0p avec les chemins Oracle « /u01 /u02 /u03 /u04« , les dossiers /home et /root sont les plus rcurrents dans les configurations, suivis de /opt qui apparat dans certains cas.
Exfiltration
Exfiltration
Sous Linux, l’exfiltration est gnralement lie au vecteur d’infection. Dans les cas o l’infection s’est produite l’aide d’informations d’identification voles, l’accs est gnralement obtenu l’aide d’outils lgitimes tels que le service SSH, qui permet en mme temps d’extraire tous les types d’informations des serveurs sans qu’il soit ncessaire de dployer d’autres outils.
De mme, dans de nombreux scnarios o l’exploitation d’une vulnrabilit pour accder des serveurs est lie au dploiement d’un Webshell, une situation similaire se produit car la majorit des Webshells, en plus de leur capacit excuter des commandes Linux, ont leurs propres capacits charger et tlcharger des fichiers partir du serveur de la victime. Ils sont donc souvent utiliss comme outil d’exfiltration.
Dans les systmes Windows, l’utilisation de RDP, WinSCP ou RClone peut tre similaire l’utilisation de SSH ou d’autres outils lgitimes tels que Curl ou Wget sous Linux. L’utilisation de menaces plus complexes, telles que les anciennes menaces Trickbot ou Emotet, ou l’utilisation de CobaltStrike ou d’autres cadres de post-exploitation cette fin, est trs courante sous Windows, mais moins sous Linux. Comme indiqu dans l’analyse de la persistance, il est trs probable qu’au fur et mesure que les chantillons de ransomware voluent, les TTP des acteurs voluent galement, et nous finirons par assister ce scnario sous Linux avec l’utilisation de portes drobes telles que Merlin ou Posidon.
Les groupes de ransomware exploitent depuis un certain temps dj la double extorsion, puisqu’ils ne se contentent pas de dtourner des fichiers, mais menacent galement d’exposer les informations sensibles de leurs victimes sur leurs sites de fuite. En fait, plusieurs groupes importants, comme Cl0p, ont dj men des campagnes dans lesquelles ils ont directement ignor l’outil de chiffrement pour se concentrer uniquement sur le vol d’informations en vue d’une extorsion ultrieure.
Impact sur le systme
Lors d’un incident de ransomware, l’un des points critiques, tant au niveau de la dtection que de la criminalistique, est l’impact des attaquants sur le systme au-del du chiffrement lui-mme. Dans les environnements Windows, on est trs habitu une surveillance troite des commandes visant supprimer les ShadowCopies, dsactiver les sauvegardes en gnral et tenter de dsactiver ou de contourner les outils de scurit. L’excution de commandes visant arrter les services cibles, tels que les bases de donnes, est galement relativement courante, car cela permet la menace de chiffrer la plupart des fichiers critiques, augmentant ainsi la pression exerce sur la victime pour qu’elle paie la ranon.
Dans les systmes Linux, la proccupation pour les sauvegardes ainsi que l’arrt des outils de scurit n’est pas encore aussi courante que dans Windows. Cependant, certains lments ayant un impact sur le systme peuvent contribuer une dtection prcoce si une surveillance adquate est maintenue. Le premier exemple, qui est galement courant dans les environnements Windows, est un Mutex, cr par de nombreuses menaces avant de commencer le cryptage pour viter les excutions simultanes qui peuvent corrompre les fichiers sans possibilit de retour. De la mme manire que la gnration d’un certain mutex spcifique dans Windows agit comme un « vaccin » pour certaines familles, sous Linux, il existe des exemples tels que Lockbit, qui gnre par dfaut un fichier appel /tmp/locker.pid qui, s’il se trouve dj dans le systme au moment de l’excution, entrane l’arrt immdiat du processus (indpendamment du fait que le processus qui l’a gnr prcdemment tait le ransomware lui-mme).
Comme dans Windows, certaines familles gnrent des fichiers moins rptitifs, comme dans le cas de Gwisin, dont le fichier Mutex gnr est beaucoup plus alatoire : /tmp/.66486f04-bf24-4f5e-ae16-0af0fdb3d8fe.
Les fichiers journaux constituent une version beaucoup plus simple et moins efficace en matire de dtection. Il n’est pas rare de trouver des chantillons de campagnes relles qui, pendant le chiffrement, gnrent des fichiers contenant des informations de dbogage, comme HelloKitty ransomware ou Monti, qui gnrent respectivement des fichiers work.log et result.txt, avec des informations sur leur excution et leur chiffrement, et dont les chanes internes sont trs caractristiques de ces deux familles. Il convient toutefois de noter que l’existence de ces fichiers n’empche en aucun cas leur excution, comme c’est le cas avec Mutex.
En ce qui concerne l’excution de commandes pouvant tre surveilles, le seul cas vraiment notable est celui de la virtualisation sur les systmes ESXi. Comme nous l’avons vu prcdemment, la plupart des chantillons de ransomware orients vers Linux possdent une version ESXi ou sont compils de manire tre directement compatibles. C’est pourquoi l’obtention de la liste des machines en cours d’excution ainsi que la possibilit de les arrter pour permettre le chiffrement sont trs courantes dans ces chantillons. Le Royal Ransomware en est un exemple :
ou les ransomwares Gwisin et BlackCat :
1 | 1.esxcli --formatter=csv --format-param=fields=="DisplayName,WorldID" vm process list 2.esxcli vm process kill --type=force --world-id= 3.esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list 4.esxcli vm process kill --type=force --world-id= |
La surveillance de ce type d'excution peut prsenter un rel intrt, car si elle se produit, c'est quelques instants avant le chiffrement, ce qui nous permet d'anticiper le chiffrement, et ventuellement de le dtecter et d'agir temps.
Schma cryptographique
Enfin, il y a la partie centrale de ce type de menace, c'est--dire la cryptographie qui entre en jeu pour chaque menace de ransomware. Sous Windows, nous avons l'habitude de voir que dans certains cas, comme celui de Conti, cette partie est dlgue aux API Windows elles-mmes. Dans de nombreux autres cas, le logiciel malveillant utilise de nombreuses bibliothques cryptographiques diffrentes comme CryptoPP (par exemple, PYSA Ransomware), mbedtls (par exemple, Petya) et libgcrypt (par exemple, Moneybird).
Parmi les chantillons destins aux systmes Linux, la situation est beaucoup plus simple, car l'utilisation de la bibliothque OpenSSL pour effectuer toutes les tches cryptographiques prdomine dans prs de la moiti des chantillons. En fait, plusieurs des familles les plus connues ont cette bibliothque lie statiquement dans le binaire lui-mme, ce qui reprsente plus de 50 % du code de la menace. Il existe encore quelques cas marginaux o les logiciels malveillants sont dvelopps en Golang ou en Rust, o les bibliothques/modules natifs de chaque langage prdominent.
En ce qui concerne les algorithmes, sous Windows, il est un peu plus difficile d'observer des schmas car de nombreux algorithmes diffrents sont utiliss parmi la grande varit de familles connues, tandis que ChaCha20 et RSA prdominent lgrement sur le reste. Lorsque des bibliothques ou des algorithmes peu courants sont utiliss, cela se traduit par des dfauts de conception de la menace, avec le dcrypteur public qui en dcoule.
Sans surprise, on trouve un plus petit nombre de variantes dans le monde Linux. La majorit de ces chantillons s'appuient principalement sur AES pour le chiffrement, ChaCha20 tant l'alternative la plus courante dans plusieurs familles. En ce qui concerne les algorithmes de chiffrement asymtrique, RSA prime dans la grande majorit des cas, occupant un rle secondaire.
Comme pour tous les points ci-dessus, il y a des exceptions. ESXiArgs utilise Sosemanuk pour le chiffrement symtrique, tandis que le plus "intelligent" d'entre eux, Cl0p, utilise RC4 avec une cl intgre l'endroit o le chiffrement asymtrique est gnralement utilis. Cette approche rend le dcryptage des fichiers trivial, sans qu'il soit ncessaire de payer.
En fin de compte, les acteurs de la menace, en particulier dans ce domaine, donnent la priorit l'efficacit, car plus la menace est capable de couvrir rapidement tous les fichiers cibles, moins il y a d'options disponibles pour la dfense. La fiabilit est la deuxime considration, et c'est pourquoi ils utilisent des bibliothques et des algorithmes robustes pour rduire le nombre de dfauts de conception qui pourraient permettre aux chercheurs en scurit de casser leur chiffrement. Ces deux facteurs amnent les diffrents acteurs crer des outils relativement uniformes, ce qui nous permet de mieux comprendre les outils et les priorits utiliss, et donc de dtecter plus facilement ce type de menace.
Conclusions
Cette analyse des diffrentes familles de ransomwares ciblant Linux rvle une tendance intressante la simplification : leurs fonctionnalits principales sont souvent rduites des processus de chiffrement de base, laissant ainsi le reste du travail aux scripts et aux outils systme lgitimes. Cette approche minimaliste les rend non seulement trs dpendants de configurations et de scripts externes, mais les rend galement plus difficiles dtecter.
L'tude a galement mis en vidence certaines stratgies propres aux familles de ransomwares, avec un accent particulier sur les systmes ESXi, mais aussi sur d'autres technologies. Les principaux vecteurs d'entre des ransomwares sont les vulnrabilits des services exposs qui, dans certains cas, sont prcisment les services les plus pertinents et, par consquent, les principales cibles de ce type de menace.
Si l'on compare les techniques de chiffrement des ransomwares entre les systmes Windows et Linux, les familles de logiciels malveillants qui ciblent Linux privilgient OpenSSL comme principale bibliothque utilise et AES comme pierre angulaire du chiffrement, RSA tant le principal choix asymtrique. Tout cela assure une relative uniformit des outils entre les diffrents acteurs de la menace.
Source : Check Point Research
Et vous ?
Trouvez-vous cette tude crdible ou pertinente ?
Que pensez-vous de la situation ?
Voir aussi :