ClickCease Une nouvelle variante du ransomware IceFire découverte sous Linux

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Une nouvelle variante du ransomware IceFire découverte sous Linux

Rohan Timalsina

Le 30 mars 2023 - L'équipe d'experts de TuxCare

Une nouvelle variante du ransomware IceFire ciblant les systèmes Linux a été découverte. Par le passé, il ne s'attaquait qu'à Windows. Ce ransomware est connu pour cibler les entreprises technologiques, alors que sous Linux, il semble cibler les entreprises de médias et de divertissement.

Les opérateurs de ransomware ciblent les grandes entreprises et utilisent des techniques telles que la double extorsion, des méthodes d'évasion et des mécanismes de persistance. Avec la double extorsion, ils chiffrent les données et les volent, et leurs demandes sont généralement deux fois plus élevées que le paiement habituel.

 

Tactiques du ransomware Linux IceFire

La variante Linux du ransomware IceFire est un fichier binaire ELF (exécutable et lisible) 64 bits d'une taille de 2,18 Mo. Il est compilé à l'aide du compilateur open-source GCC (GNU compiler collection) pour l'architecture du processeur système AMD64. La charge utile du ransomware est compatible avec les distributions d'Ubuntu et de Debian basées sur Intel, et il a été observé en train d'attaquer des hôtes fonctionnant sous CentOS.

Le ransomware IceFire Linux utilise un algorithme de chiffrement RSA avec une clé publique RSA codée en dur et intégrée dans le binaire. Après avoir ciblé un répertoire pour le chiffrement des fichiers, la charge utile du ransomware laisse une note de rançon provenant d'une ressource intégrée dans le binaire. Cette note contient un nom d'utilisateur et un mot de passe prédéfinis permettant d'accéder au site web de paiement de la rançon, qui est hébergé sur un service caché par Tor afin de garantir l'anonymat.

Lorsqu'un système télécharge et exécute les charges utiles du ransomware IceFire, celles-ci chiffrent les fichiers et ajoutent l'extension ".ifire" à leur nom. Après le chiffrement, la charge utile est programmée pour se supprimer elle-même afin d'éviter d'être détectée.

Cependant, la version Linux du ransomware IceFire est spécifiquement conçue pour exclure du chiffrement certains fichiers et chemins critiques, notamment les extensions de fichiers .cfg, .o, .sh, .img, .txt, .xml, .jar, .pid, .ini, .pyc, .a, .so, .run, .env, .cache, .xmlb, et p, ainsi que les chemins d'accès tels que /boot, /dev, /etc, /lib, /proc, /srv, /sys, /usr, /var, et /run. Cela permet de s'assurer que les parties critiques du système ne sont pas cryptées, ce qui leur permet de rester opérationnelles.

 

Conclusion

Linux est considéré comme un système d'exploitation sûr qui surpasse Windows et macOS en matière de sécurité. Cependant, la popularité croissante de Linux et les appareils de grande valeur qu'il équipe dans le monde entier en ont fait une cible plus attrayante pour les attaquants. Il est donc essentiel que les administrateurs et les organisations mettent en œuvre les protections appropriées pour se défendre contre les logiciels malveillants, les rootkits et les autres menaces malveillantes auxquelles les utilisateurs de Linux sont exposés.

Il existe plusieurs conseils et mesures de sécurité que vous pouvez suivre pour sécuriser votre système d'exploitation Linux. Par exemple, pour réduire le risque de dommages potentiels, vous pouvez sauvegarder les fichiers critiques et diversifier les supports de stockage afin d'éviter un point de défaillance unique. Bien que cette approche ne permette pas d'éviter une attaque, elle peut contribuer à réduire l'impact de tout dommage potentiel.

TuxCare propose KernelCare Enterprise comme solution de patching en direct qui applique automatiquement les derniers correctifs de sécurité pour diverses distributions Linux. Ce processus élimine la nécessité de redémarrer le système, ce qui permet aux entreprises de rester à jour avec les derniers correctifs sans avoir à programmer de temps d'arrêt.

 

Les sources de cet article comprennent un article de LinuxSecurity.

Résumé
Une nouvelle variante du ransomware IceFire découverte sous Linux
Nom de l'article
Une nouvelle variante du ransomware IceFire découverte sous Linux
Description
Une nouvelle variante du ransomware IceFire a été découverte. Elle cible les systèmes Linux, principalement ceux des entreprises de médias et de divertissement.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information