Rançongiciels. Voilà de quoi s’inquiéter. Mais comment s’en défendre ? Que faut-il protéger en priorité ? Les postes de travail Windows, les serveurs Active Directory et d’autres produits Microsoft sont souvent des cibles privilégiées. Et dans la plupart des cas, cette approche est justifiée. Cependant, il est important de se rappeler que les tactiques des cybercriminels évoluent constamment et que des outils malveillants sont désormais développés pour les serveurs Linux et les systèmes de virtualisation. Le nombre total d’attaques contre les systèmes Linux a augmenté d’environ 75 % en 2022.
La raison de ces attaques est claire : à mesure que l’open source et la virtualisation gagnent en popularité, le nombre de serveurs exécutant Linux ou VMware ESXi augmente. Ceux-ci stockent fréquemment une grande quantité d’informations critiques qui, si elles ne sont pas cryptées, peuvent immédiatement paralyser les opérations d’une entreprise. Les serveurs non Windows s’avèrent être des cibles faciles, car la sécurité des systèmes Windows a généralement été au centre de l’attention.
Attaques en 2022-2023
-
Le ransomware ESXiArgs a infecté de nombreux propriétaires de serveurs VMware ESXi en février 2023. Les attaquants ont désactivé les machines virtuelles et chiffré les fichiers.vmxf,.vmx,.vmdk,.vmsd et.nvram en exploitant la vulnérabilité CVE-2021-21974.
-
Une nouvelle variante du ransomware BlackBasta est optimisée pour les attaques contre les hyperviseurs ESXi. L’algorithme ChaCha20 est utilisé en mode multi-thread par de nombreux processeurs dans la technique de chiffrement. Étant donné que les batteries de serveurs ESXi sont généralement multiprocesseurs, cet algorithme réduit le temps nécessaire pour chiffrer l’ensemble de l’environnement.
-
Le ransomware BlackCat, écrit en Rust, peut également désactiver et supprimer les machines virtuelles ESXi. D’une autre manière, le code malveillant est presque identique à la version Windows.
-
Le ransomware Luna, que nous avons découvert en 2022, était initialement multiplateforme, capable de s’exécuter sur des ordinateurs Windows, Linux et ESXi. Bien sûr, le gang LockBit ne pouvait pas ignorer la tendance et a commencé à proposer également des versions ESXi de leur virus aux affiliés.
Tactiques d’attaque de serveur
La pénétration des systèmes Linux est souvent accomplie par l’exploitation de vulnérabilités. Les vulnérabilités du système d’exploitation, des serveurs Web et d’autres programmes fondamentaux, ainsi que des applications d’entreprise, des bases de données et des systèmes de virtualisation, peuvent être utilisées comme armes par des attaquants. Les vulnérabilités des composants open source, comme l’a prouvé Log4Shell l’année dernière, nécessitent une attention particulière. De nombreuses formes de ransomwares utilisent des astuces ou des vulnérabilités supplémentaires après une violation initiale pour élever les privilèges et chiffrer le système.
Comment les systèmes de virtualisation et les serveurs Linux peuvent être ciblés par différents types d’attaques
Les systèmes de virtualisation et les serveurs Linux peuvent être ciblés par divers types d’attaques, notamment:
-
Attaques par déni de service (DoS) : Ces attaques submergent un système de trafic, le rendant indisponible pour les utilisateurs légitimes.
-
Attaques Man-in-the-middle (MitM): Ces attaques interceptent la communication entre deux parties, permettant à l’attaquant de visualiser ou de modifier les informations transmises.
-
Attaques de script intersite (XSS) : Ces attaques injectent du code malveillant dans un site Web ou une application Web, permettant à l’attaquant de voler des données sensibles ou de prendre le contrôle du serveur.
-
Attaques par injection SQL : Ces attaques exploitent les vulnérabilités des applications Web qui permettent aux attaquants d’exécuter des commandes SQL arbitraires sur le serveur.
-
Attaques de logiciels malveillants : Ces attaques infectent un système avec des logiciels malveillants qui peuvent voler des données sensibles, modifier des fichiers ou prendre le contrôle du serveur.
Conseils sur la protection contre les systèmes de virtualisation et les attaques de serveurs Linux
Pour se protéger contre ces attaques, il est important de mettre en œuvre des mesures de sécurité strictes, telles que:
-
Mise à jour et correction régulières des logiciels pour corriger les vulnérabilités connues.
-
Application des politiques de mots de passe forts et utiliser l’authentification multifactorielle.
-
Utilisation de pare-feu et de systèmes de détection/prévention des intrusions pour surveiller le trafic réseau et bloquer les activités suspectes.
-
Mise en œuvre des contrôles d’accès et des principes de moindre privilège pour limiter l’accès des utilisateurs aux données sensibles et aux ressources système.
-
Sauvegardes régulières et planification de la reprise après sinistre pour assurer la continuité des activités en cas d’attaque ou de défaillance du système.
La technologie de virtualisation et les serveurs Linux offrent de nombreux avantages aux organisations. Cependant, ces technologies ne sont pas à l’abri des cyberattaques. Les organisations doivent mettre en œuvre une approche de sécurité multicouche pour atténuer les risques associés aux systèmes de virtualisation et aux serveurs Linux. En suivant les meilleures pratiques, en effectuant régulièrement des audits de sécurité et en offrant une formation de sensibilisation à la sécurité aux employés, les organisations peuvent minimiser le risque de cyberattaques et protéger leurs données et leurs systèmes contre toute compromission.