Categories: RansomwareSécurité

Des ransomwares sur Linux : autres moyens, autres objectifs ?

Les transports publics de Montréal, le système judiciaire brésilien… RansomEXX a fait des victimes de marque ces dernières semaines.

Découvert en juin, il entre dans la catégorie des « gros » ransomwares. En tout cas au vu des attaques qui l’impliquent. Il n’en est que l’ultime stade, consécutif à des infiltrations méthodiques sur les réseaux informatiques des entités ciblées.

Ces dernières ont d’ailleurs leur nom codé en dur dans l’exécutable malveillant qui leur est adressé. RansomEXX utilise cette information pour personnaliser la note et l’adresse mail de rançon, ainsi que l’extension qu’il accole aux fichiers chiffrés.

On connaissait jusqu’alors l’exécutable en question sous une forme visant les systèmes Windows. Mais il semble qu’une version Linux a commencé à émerger. Kaspersky lui trouve en tout cas une grande ressemblance avec la variante de RansomEXX exploitée en juin dernier contre l’autorité régulatrice des transports au Texas.

La méthode de compilation est différente, mais l’organisation du code laisse peu de doute. Surtout si on additionne le contenu du message de rançon et l’exploitation de la bibliothèque mbedtls pour implémenter les fonctions cryptographiques.

RansomEXX n’est pas le premier

La probable « version Linux » de RansomEXX consiste en un exécutable .elf 64 bits nommé svc-new. Pour chiffrer les fichiers, il emploie une clé AES-ECB 256 bits générée à la volée et elle-même chiffrée avec une clé publique RSA-4096 codée en dur. Par rapport à la version Windows, il n’y a pas de fonctionnalités supplémentaires qui permettraient par exemple de tuer des processus ou de se connecter à un serveur distant.

D’autres ransomwares ont déjà ciblé les systèmes Linux. PureLocker, repéré il y a environ un an, en est un exemple. Il était longtemps resté sous les radars grâce à diverses techniques d’évasion (il se faisait notamment passer pour la bibliothèque Crypto++). Snatch (illustré ci-dessous) en est un autre. Il avait la particularité de redémarrer les machines infectées en mode sans échec pour contourner les logiciels de sécurité.

On monte toutefois d’un cran avec RansomEXX, au regard des victimes qu’il a faites et du niveau de sophistication des attaques. Sa cible n’est évidemment pas tant les postes de travail (dévolus à la version Windows) que les serveurs, d’autant plus critiques.

Illustration principale © isaak55 – shutterstock.com

Recent Posts

Microsoft révise ses programmes de licence à l’aune du cloud

Microsoft permet désormais la vente de licences perpétuelles dans le cadre du programme Cloud Solution…

2 jours ago

Open hardware : Android porté sur RISC-V

Alibaba est parvenu à porter Android sur un processeur RISC-V maison, avec interface graphique et…

2 jours ago

Firefox sur Apple Silicon : dans les coulisses du portage

De Rust aux DRM, Mozilla revient sur quelques-uns des défis qu'a impliqués le portage de…

2 jours ago

DBaaS : Couchbase Cloud sur Azure, après AWS

Après Amazon Web Services, Azure. La base de données en tant que service de Couchbase…

2 jours ago

Zerologon : Microsoft prépare la phase deux de son plan correctif

Microsoft se prépare à ajuster le correctif qu'il diffuse depuis août dernier contre la faille…

3 jours ago

DSI : un fonctionnement en silos qui coûte cher

9 DSI sur 10 considèrent que la contribution des équipes IT à la création de…

3 jours ago