IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Linux Discussion :

Les systèmes basés sur Linux sont la cible de ransomware et de cryptojacking, de plus en plus complexes


Sujet :

Linux

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2018
    Messages
    2 135
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 34
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mai 2018
    Messages : 2 135
    Points : 158 406
    Points
    158 406
    Par défaut Les systèmes basés sur Linux sont la cible de ransomware et de cryptojacking, de plus en plus complexes
    Les logiciels malveillants ciblant les systèmes d'exploitation basés sur Linux augmentent à la fois en volume et en complexité, dans un contexte d'évolution rapide du paysage des menaces

    Du fait de son utilisation sur de nombreux serveurs en cloud, Linux est un élément central de l'infrastructure numérique. Il n'est donc pas surprenant qu'il soit de plus en plus la cible d'attaques. Un nouveau rapport de l'unité d'analyse des menaces de VMware révèle que les logiciels malveillants ciblant les systèmes d'exploitation basés sur Linux augmentent à la fois en volume et en complexité, dans un contexte d'évolution rapide du paysage des menaces

    "Les cybercriminels élargissent considérablement leur champ d'action et ajoutent des logiciels malveillants ciblant les systèmes d'exploitation basés sur Linux à leur panoplie d'attaques afin de maximiser leur impact avec le moins d'efforts possible", explique Giovanni Vigna, directeur principal de la veille sur les menaces chez VMware. "Plutôt que d'infecter un point d'extrémité et de se diriger ensuite vers une cible de plus grande valeur, les cybercriminels ont découvert que la compromission d'un seul serveur peut leur apporter le gain massif et l'accès qu'ils recherchent. Les attaquants considèrent les clouds publics et privés comme des cibles de grande valeur en raison de l'accès qu'ils offrent aux services d'infrastructures critiques et aux données confidentielles. Malheureusement, les mesures actuelles de lutte contre les logiciels malveillants sont principalement axées sur les menaces basées sur Windows, laissant de nombreux déploiements de clouds publics et privés vulnérables aux attaques sur les systèmes d'exploitation basés sur Linux."

    Les outils d'accès à distance sont souvent l'arme de prédilection des attaquants et l'un des principaux outils utilisés est l'outil commercial de pen testing Cobalt Strike. Le rapport estime que plus de la moitié des utilisateurs de Cobalt Strike pourraient être des cybercriminels, ou du moins utiliser Cobalt Strike de manière illicite, les identifiants des clients de Cobalt Strike ayant été piratés et divulgués à 56 %.

    Nom : 1644848222074.jpg
Affichages : 2371
Taille : 11,2 Ko

    Les ransomwares basés sur Linux évoluent pour cibler les images hôtes utilisées pour faire tourner les charges de travail dans les environnements virtualisés. Le cryptojacking est également un problème, les cybercriminels incluant une fonctionnalité de vol de portefeuille dans les logiciels malveillants ou monétisant les cycles de CPU volés pour miner avec succès des cryptocurrences.

    "Depuis que nous avons effectué notre analyse, nous avons constaté que de plus en plus de familles de ransomwares gravitaient autour des logiciels malveillants basés sur Linux, avec le potentiel d'attaques supplémentaires qui pourraient exploiter les vulnérabilités Log4j ", déclare Brian Baskin, responsable de la recherche sur les menaces chez VMware. "Les conclusions de ce rapport peuvent être utilisées pour mieux comprendre la nature des logiciels malveillants basés sur Linux et atténuer la menace croissante que représentent les ransomwares, les cryptomining et les RAT pour les environnements multi-cloud. Comme les attaques ciblant le cloud continuent d'évoluer, les organisations devraient adopter une approche de confiance zéro pour intégrer la sécurité dans toute leur infrastructure et s'attaquer systématiquement aux vecteurs de menace qui constituent leur surface d'attaque."

    Source : VMware

    Et vous ?

    Trouvez-vous ce rapport pertinent ?

    Voir aussi :

    Les stations de travail et les serveurs basés sur Linux deviennent la cible de groupes de menaces persistantes avancées (APT), d'après une étude réalisée par Kaspersky

    Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques

    La force gravitationnelle du trou noir des ransomwares attire d'autres cybermenaces pour créer un système de distribution de ransomwares massif et interconnecté, selon un rapport de Sophos

  2. #2
    Membre expérimenté

    Homme Profil pro
    Retraite
    Inscrit en
    Octobre 2005
    Messages
    487
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 73
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 487
    Points : 1 374
    Points
    1 374
    Billets dans le blog
    1
    Par défaut
    bonjour ,
    sans vouloir offusquer personnes ni renier qu'il n'y a pas d'attaque sur Linux je conseille de lire https://doc.ubuntu-fr.org/antivirus. Pour les utilisateurs lambda.

    et ne pas faire de paranoïa. Mais rester prudent.

    Histoire de se remettre à jour...
    Après avoir lu. et relut et vue d'autre article sur le même sujet j'ai essayé de communiquer et de lire d'autres communiqués sur le traitement de malware voir de script malicieux. Je continue à dire qu'une bonne installation avec un HOME sur un disk autre que celui du system et des droits pour les utilisateurs de base et pas root ou donnant accès à la modification du system ect... , entrave considérablement la malveillance .

    pour rappel :
    Une des vulnérabilités de GNU/Linux est due au fait que de nombreux utilisateurs imaginent que GNU/Linux n'est pas sensible aux virus, ou alors configurent leur ordinateur de façon non sécurisée, que ce soit par ignorance ou par maladresse.

    L'intérêt des développeurs de virus semble lié à la popularité du système d'exploitation cible, mais la stricte séparation des droits Unix et la mise en place du firewall dans le noyau, et ce dès le début du démarrage rendent difficile la propagation de virus dans Linux.


    Un virus peut être conçu pour exploiter des vulnérabilités de type élévation des privilèges qui peuvent permettre d'obtenir plus de droits ou de privilèges sur le système. A cela je réponds que je ne donne pas le mot de passe de l'administrateur.

    Pour les utilisateurs perso. je précise que le mot de passe administrateur n'est fait que pour l'administrateur, qu'ils n'ont pas d'intérêt à l'utiliser si ce n'est que corrompre leurs system.


    Quant aux attaques DDOS Une attaque par déni de service distribué (DDoS) est une tentative de rendre un service en ligne indisponible en le submergeant de trafic provenant de plusieurs sources.


    Open-Source:
    lire https://www.globalsign.com/fr/blog/comment-contrer-une-attaque-ddos-sur-un-serveur-cloud

    il faut être conscient que les attaques DDOS vous pouvez les bloquer ... , mais pas les empêcher actuellement.

    Un autre trou :
    De même quand les utilisateurs se refilent le mot de passe , j'ai essayé et ça fonctionne en partie de lier un USER à une unité, mais on ne peut pas toujours le faire. Si ce n'est que de sensibiliser les personnes , les responsabiliser.

  3. #3
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 684
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 684
    Points : 7 884
    Points
    7 884
    Par défaut
    Citation Envoyé par JPLAROCHE Voir le message
    [...]
    Oui, tout ce qui est dit est vrai mais je vais me permettre de nuancer pour la partie ransomware: un ransomware peut faire dégâts sur le home de l'utilisateur (là où ce dernier a des droits d’exécution en fait), et de ce fait chiffrer toutes les données d'un utilisateur précis sans avoir la possibilité de détruire le système (justement grâce à une gestion des permissions saine).

    Perso, une fois les données perdues, je trouve que le mal est fait.

    Maintenant, pour lancer un ransomware sur Linux, il faut quand même le faire exprès. Il ne va pas s'exécuter tout seul, la plupart des logiciels seront installés depuis le gestionnaire de package de la distribution et depuis des dépôts de confiance, et c'est par exemple parfaitement sûr d'ouvrir une image qui contiendrait un virus, car celle-ci sera "lue" et non "exécutée". Après, si l'utilisateur s'amuse à installer plein de dépôts tiers aussi, on en revient aux règles d'hygiène de base.

    Citation Envoyé par JPLAROCHE Voir le message
    Un autre trou :
    De même quand les utilisateurs se refilent le mot de passe , j'ai essayé et ça fonctionne en partie de lier un USER à une unité, mais on ne peut pas toujours le faire. Si ce n'est que de sensibiliser les personnes , les responsabiliser.
    Sur ce sujet, que ce soit au travers de OpenSSH ou juste des sessions locales (terminal ou session graphique), tu peux définir des stratégies d'authentification, comme par exemple nécessiter l'utilisation de plusieurs facteurs d'authentification (clé FIDO, etc), ce qui limite la casse aussi en cas de propagation de mot de passe

  4. #4
    Membre expérimenté

    Homme Profil pro
    Retraite
    Inscrit en
    Octobre 2005
    Messages
    487
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 73
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 487
    Points : 1 374
    Points
    1 374
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par kain_tn Voir le message
    Maintenant, pour lancer un ransomware sur Linux, il faut quand même le faire exprès. Il ne va pas s'exécuter tout seul, la plupart des logiciels seront installés depuis le gestionnaire de package de la distribution et depuis des dépôts de confiance, et c'est par exemple parfaitement sûr d'ouvrir une image qui contiendrait un virus, car celle-ci sera "lue" et non "exécutée". Après, si l'utilisateur s'amuse à installer plein de dépôts tiers aussi, on en revient aux règles d'hygiène de base.

    Sur ce sujet, que ce soit au travers de OpenSSH ou juste des sessions locales (terminal ou session graphique), tu peux définir des stratégies d'authentification, comme par exemple nécessiter l'utilisation de plusieurs facteurs d'authentification (clé FIDO, etc), ce qui limite la casse aussi en cas de propagation de mot de passe
    tout à fait d'accord, sur les deux points.
    le problème se pose beaucoup plus chez l'utilisateur perso, mais il y en a qui se tape la tête contre les murs.
    ps: personnellement j'interviens souvent après la catastrophe sur Windows chez des particuliers (je suis maintenant à la retraite) alors ils ont compris je verrouille tout, et ils m'invitent pour prendre un pastis 2 fois par an pour faire leur mise à jour ou pour leur installer un logiciel, ils sont dans mon village.

    Citation Envoyé par kain_tn Voir le message
    Sur ce sujet, que ce soit au travers de OpenSSH ou juste des sessions locales (terminal ou session graphique), tu peux définir des stratégies d'authentification, comme par exemple nécessiter l'utilisation de plusieurs facteurs d'authentification (clé FIDO, etc), ce qui limite la casse aussi en cas de propagation de mot de passe
    c'est vrai aujourd'hui j'aurai mis comme tu le sugères pour certain poste clé .

  5. #5
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 825
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 825
    Points : 44 117
    Points
    44 117
    Par défaut
    Ce qui "sécurise" le plus Linux par rapport à Windows :

    - 99,99% des postes sont sous Windows, mieux vaut développer un virus sous Windows
    - Les utilisateurs ne travaillent pas en root, les GUI comme KDE ou Gnome n'autorisent pas leur lancement en root. Ca limite déjà le risque
    - On installe en général les applis depuis les dépôts officiels, sous Windows, on lance un .exe pouvant avoir été téléchargé depuis une source non fiable. Il est maintenant possible d’interdire l'installation depuis autre chose que le store - encore faut-il que celui-ci soit fourni par rapport aux attente des utilisateurs.

    le plus de Windows : les mises à jour forcées : une faille patché le sera automatiquement. sous Linux : cela va dépendre si l'utilisateur fait ses mises à jour. Les mises à jour sous Windows sont aussi un problème : mises à jour corrigeant un problème mais en créant un autre, mise à jour crashant le poste (non systématique je précise)

    Il y a des failles importantes sur les 2 environnements.

    Avec l'explosion du cloud, la tendance va évoluer :
    99,99 % des serveurs web, ou des serveurs gérant le cloud sont sous Linux. Imaginez les dégâts si par exemple Dropbox ou service similaire se fait compromettre. Les pirates ont donc un intérêt à viser Linux pour cet aspect. Une boutique en ligne compromise=récup de moyens de paiement, de données personnelles.pour compromettre une boutique en ligne, pas besoin de compromettre le système, juste le système de boutique en ligne par une faille de celui-ci. Il y a déjà eu des failles graves sur prestashop ou woocommerce.
    Il suffit de regarder également les dégâts de log4j.

  6. #6
    Expert éminent Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    Mars 2005
    Messages
    1 684
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Mars 2005
    Messages : 1 684
    Points : 7 884
    Points
    7 884
    Par défaut
    Citation Envoyé par chrtophe Voir le message
    Ce qui "sécurise" le plus Linux par rapport à Windows :

    - 99,99% des postes sont sous Windows, mieux vaut développer un virus sous Windows
    - Les utilisateurs ne travaillent pas en root, les GUI comme KDE ou Gnome n'autorisent pas leur lancement en root. Ca limite déjà le risque
    - On installe en général les applis depuis les dépôts officiels, sous Windows, on lance un .exe pouvant avoir été téléchargé depuis une source non fiable. Il est maintenant possible d’interdire l'installation depuis autre chose que le store - encore faut-il que celui-ci soit fourni par rapport aux attente des utilisateurs.
    Il y a également la gestion des droits qui est plus fine. Comme je le disais plus haut, pour lire une image, tu n'as pas besoin de l'exécuter. Du coup même si le contenu est malveillant, il ne sera pas exécuté donc il restera inoffensif.

    À cela s'ajoutent les sandbox comme AppArmor et SELinux, qui viennent souvent installés par défaut maintenant avec des profils par défaut pour certaines applications telles que les navigateurs Web par exemple (et heureusement car leur configuration n'est pas à la portée du premier utilisateur venu, je trouve, mais leur valeur est réelle).

    Pour ce qui est des dépôts officiels, tu as raison mais certaines pratiques tendent à augmenter le risque, comme par exemple Raspberry PI OS qui installe des dépôts tiers (et leur clé GPG) à l'insu de ses utilisateurs, ou encore les nombreux tuto qui encouragent les gens à installer des PPT à la pelle pour Ubuntu.


    Citation Envoyé par chrtophe Voir le message
    le plus de Windows : les mises à jour forcées : une faille patché le sera automatiquement. sous Linux : cela va dépendre si l'utilisateur fait ses mises à jour. Les mises à jour sous Windows sont aussi un problème : mises à jour corrigeant un problème mais en créant un autre, mise à jour crashant le poste (non systématique je précise)
    Là ça dépend des choix de l'utilisateur (par exemple choisir d'installer les mises à jour de sécurité automatiquement, et de faire le reste en manuel, ou de tout faire en manuel, ou tout en automatique).


    Citation Envoyé par chrtophe Voir le message
    Avec l'explosion du cloud, la tendance va évoluer :
    99,99 % des serveurs web, ou des serveurs gérant le cloud sont sous Linux. Imaginez les dégâts si par exemple Dropbox ou service similaire se fait compromettre. Les pirates ont donc un intérêt à viser Linux pour cet aspect. Une boutique en ligne compromise=récup de moyens de paiement, de données personnelles.pour compromettre une boutique en ligne, pas besoin de compromettre le système, juste le système de boutique en ligne par une faille de celui-ci. Il y a déjà eu des failles graves sur prestashop ou woocommerce.
    Ça fait deux décennies que la plupart des serveurs sont sous Linux.

    Mais comme tu le dis, le Cloud change la donne: en effet, concentrer tous les services du monde (avec tout leur vol de données personnelles au passage) aux mêmes endroits, ça en fait des cibles très alléchantes.


    Citation Envoyé par chrtophe Voir le message
    Il suffit de regarder également les dégâts de log4j.
    Mouais, pour les failles log4j, la plupart des boîtes se noient dans un verre d'eau.

    Certes les failles sont réelles, mais quand une boîte veut nous faire croire qu'elle ne peut pas remplacer Log4j (2 au passage) dans ses produits sans revoir tout le code, c'est qu'elle ne fait pas du code propre, et c'est bien fait pour sa tronche...

    Il y avait bien plus à craindre avec des failles telles que Heartbleed par exemple il y a plus d'une décennie, ou encore Orion (SolarWinds 2018/2019) qui était utilisé dans beaucoup de grandes entreprises.

    Log4J2, tu peux remplacer ta dépendance par une autre bibliothèque compatible SLF4J en un rien de temps, et à part si tu as écrit des filtres custom, tu n'as même pas besoin de recompiler: tu passes au déploiement directement.

Discussions similaires

  1. Réponses: 8
    Dernier message: 27/02/2021, 00h35
  2. Réponses: 15
    Dernier message: 27/03/2015, 12h49
  3. Réponses: 30
    Dernier message: 25/06/2014, 15h41
  4. Les systèmes des établissements financiers sont vieillissants, d'après Oracle
    Par Gordon Fowler dans le forum Forum général Solutions d'entreprise
    Réponses: 0
    Dernier message: 26/10/2010, 13h46
  5. Réponses: 4
    Dernier message: 11/10/2009, 12h28

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo