Des chercheurs partagent une feuille de route pour renforcer les défenses de Linux

Les chercheurs en menaces de BlackBerry ont partagé des tactiques et des stratégies communes pour mieux protéger les systèmes Linux contre les cyberattaques. Pour créer un moyen viable de sécurité, les chercheurs ont étudié trois familles de ransomware : Symbiote, Orbit et Red Alert ransomware.

Selon les chercheurs, les tactiques les plus importantes sur lesquelles il faut se concentrer sont MITRE TA0005 (défense) invasion et TA0007 (découverte). La tactique ci-dessus représente des événements au début de la chaîne d'attaque et si elle est détectée à temps, les défenseurs peuvent aider à atténuer des activités telles que les autorisations d'accès, les mouvements latéraux ou les déplacements latéraux. Elle permet également d'atténuer une attaque avant le lancement d'une charge utile de ransomware.

Les tactiques, techniques et procédures (TTP) utilisées par les attaquants pour contourner la détection font appel à des outils tels que cURL et Wget, qui sont utilisés pour extraire des fichiers, des scripts de proxy, en particulier des proxys SOCKS5, inversés ou non, et des boîtes à outils.

Les chercheurs ont souligné que les attaquants ciblent désormais les environnements virtuels VM dans le cloud privé. Les attaquants ciblent les hyperviseurs pour compromettre l'ensemble de l'infrastructure VM au lieu de crypter le fichier sur une seule machine virtuelle.

Ils ont constaté que deux des plus grandes familles de ransomware (LockBit et BlackBasta) disposent désormais de variantes spécifiques à ESXi ainsi que de variantes Linux pour le chiffrement.

Les contre-mesures visant à se protéger contre ces attaques comprennent la préparation à une éventuelle attaque et la réalisation de tests Purple Team pour imiter les acteurs de la menace, déterminer l'efficacité et évaluer les lacunes.

Parmi les autres conseils, citons : éviter l'utilisation de playbooks génériques pour se protéger contre les ransomwares ; évaluer les plans et la posture de récupération, tôt et souvent ; appliquer une approche de confiance zéro à l'accès au réseau et aux données ; réduire la surface d'attaque et appliquer une politique de moindre privilège, ainsi que l'application opportune des correctifs.

Les sources de cet article comprennent un article paru dans BlackBerry.