Les ransomwares sont l'une des pires cybermenaces qui existent aujourd'hui, de plus, il en existe plusieurs différents types de rançongiciels , mais tous visent à détourner toutes vos données afin de vous faire payer une rançon. Ce type de malware affecte n'importe quel système d'exploitation, bien que de nombreuses attaques aient ciblé Windows systèmes d'exploitation, il y en a aussi beaucoup qui visent à infecter un Linux/Unix-, donc si vous utilisez Linux, vous n'êtes pas à l'abri de cette menace. Si vous avez déjà été infecté par un ransomware, nous vous recommandons d'essayer de récupérer les fichiers cryptés ou cryptés, mais vous ne devez jamais payer la rançon des cybercriminels.
Les rançongiciels et le système d'exploitation Linux
Le système d'exploitation Linux a une part de marché très faible dans les systèmes de bureau, c'est-à-dire dans les ordinateurs de bureau ou les ordinateurs portables que nous utilisons régulièrement, que ce soit pour les loisirs ou le travail. Ce système d'exploitation se retrouve surtout dans les serveurs, dans les NAS et même dans le système d'exploitation qui utilise le « cloud » pour traiter toutes les données des utilisateurs et des clients. Les cybercriminels savent que s'ils sont capables d'infecter un serveur Linux ou un NAS, les administrateurs sont susceptibles de payer une rançon s'ils n'ont pas toutes les données sauvegardées. Cela fait des systèmes Linux l'une des principales cibles de tout cybercriminel, car le butin peut être trop lucratif pour être laissé échapper.
Ces dernières années, il y a eu des dizaines de ransomwares qui affectent les systèmes Linux, leurs principales cibles sont les serveurs et les NAS, pour obtenir un accès root en exploitant différentes vulnérabilités, puis en cryptant toutes les données pour exiger une rançon. Par exemple, dans le passé, il y a eu des incidents de ransomware sur les principales marques de NAS, qui ont été exposées à Internet et ce que les cybercriminels faisaient était d'exploiter une vulnérabilité non résolue dans le système, une fois qu'ils étaient dans le système d'exploitation en tant que root. , ils pourraient non seulement crypter les données, mais également effacer les instantanés que nous avons créés et même exécuter des tâches de sauvegarde pour "écraser" les sauvegardes que nous avons précédemment effectuées.
Un autre aspect très important est que ce malware Linux peut également cibler les machines Windows. Nous devons garder à l'esprit que les dernières versions de Windows, à la fois Windows 10 et Windows 11, ont le sous-système Windows pour Linux (WSL), vous pouvez donc exécuter les binaires Linux de manière native sur le système d'exploitation. Si nous l'avons déjà installé et que nous sommes infectés, ils pourraient crypter toutes les données de notre système Windows. Dans le cas où il n'est pas installé, s'ils profitent d'une vulnérabilité et pénètrent dans le système Windows, ils peuvent alors installer manuellement WSL pour exécuter ultérieurement le ransomware en question.
Enfin, il faut aussi être très attentif aux attaques ciblant spécifiquement Docker et Kubernetes exposés à Internet. Les déploiements peuvent être ouverts au monde, et si un Docker est compromis, cela pourrait affecter le reste des Dockers et même le système de fichiers du serveur réel, tout dépend de la façon dont il est configuré au niveau du réseau et aussi avec les volumes. fichiers virtuels que nous transmettons au conteneur.
Que puis-je faire pour protéger mon Linux contre les ransomwares ?
La première chose à faire est de planifier correctement vos sauvegardes. Vous devez appliquer une politique de sauvegarde 3-2-1 dès que possible, c'est-à-dire faire trois copies de sauvegarde, à deux endroits différents pour ajouter la redondance des données, et une des copies qui est hors ligne sur un disque dur, c'est-à-dire qui pas connecté à Internet. Une fois que nous avons fait une bonne politique de sauvegarde, il est très important de vérifier que ces sauvegardes fonctionnent correctement.
Après vous être assuré que vous disposez d'une bonne politique de sauvegarde et de restauration, vous devez faire les recommandations suivantes et renforcer Linux :
- N'exposez aucun service directement à Internet. S'il est nécessaire d'exposer un service, effectuez un renforcement pour atténuer autant que possible les failles de sécurité.
- Configurez correctement le pare-feu. Si votre entreprise est orientée vers l'Espagne, bloquez le reste des pays.
- Configurez l'IDS/IPS pour empêcher d'éventuelles intrusions dans le système, c'est un ajout de sécurité supplémentaire.
- Si vous allez accéder à distance via SSH, mieux vaut d'abord configurer un serveur VPN, puis vous connecter à SSH, ou au moins configurer SSH comme sécurisé que possible.
- Concevez une bonne politique de journalisation et envoyez-les à un serveur distant pour les protéger.
- Activez SELinux ou AppArmor pour ajouter une autre couche de sécurité à tous les processus.
Comme vous pouvez le voir, les rançongiciels affectent à la fois Windows et Linux, il est donc très important que vous configuriez correctement votre Linux et que vous le protégiez bien, pour atténuer ce type d'attaque dangereuse.
