Une nouvelle version d’un dangereux rançongiciel Windows (s’ouvre dans un nouvel onglet) a été observé ciblant des appareils Linux, ont révélé des chercheurs en cybersécurité.
Ce qui est encore plus préoccupant, c’est que les acteurs de la menace ont fait des «choix réfléchis» pour s’assurer que la souche Linux cible les bons appareils et les bonnes vulnérabilités.
Dans un communiqué de presse, des chercheurs en cybersécurité de SentinelLabs ont confirmé qu’ils avaient vu pour la première fois une version Linux du rançongiciel IceFire. Cette variante a été baptisée iFire et cible une vulnérabilité de désérialisation dans le logiciel de partage de fichiers IBM Aspera Faspex, suivie sous le nom de CVE-2022-47986.
Chasse au gros gibier
Mais ce n’est pas le seul développement surprenant en ce qui concerne IceFire. Les chercheurs ont également découvert que l’acteur menaçant ciblait les entreprises des secteurs des médias et du divertissement dans des pays comme la Turquie, l’Iran, le Pakistan et les Émirats arabes unis – des pays « qui ne sont généralement pas ciblés par les acteurs organisés des ransomwares ».
Au lieu de cela, les acteurs de la menace considéraient IceFire comme un groupe de menaces centré sur Windows qui se lançait dans la « chasse au gros gibier » – ciblant les grandes entreprises avec des tactiques de double extorsion, utilisant d’innombrables mécanismes de persistance et évitant l’analyse en supprimant les fichiers journaux.
Comparé à Windows, Linux est un système d’exploitation plus difficile à infecter avec des ransomwares, ont ajouté les chercheurs, affirmant également que cela est particulièrement difficile à mettre en place à grande échelle.
« De nombreux systèmes Linux sont des serveurs », disent-ils. « Les vecteurs d’infection typiques comme le phishing ou le téléchargement en voiture sont moins efficaces. Pour surmonter cela, les acteurs se tournent vers l’exploitation des vulnérabilités des applications, comme l’a démontré l’opérateur IceFire en déployant des charges utiles via une vulnérabilité IBM Aspera.
Pourtant, malgré les défis, les acteurs de la menace cherchent de plus en plus à déployer des rançongiciels sur les appareils Linux, concluent les chercheurs, affirmant que l’évolution d’IceFire n’est qu’un autre argument prouvant le cas. Les bases du ransomware ciblant Linux ont été posées en 2021, ont-ils déclaré, mais la tendance s’est accélérée en 2022 avec BlackBasta, Hive, Qilin, ViceSociety et d’autres, qui ont également commencé à cibler le système d’exploitation.