Historiquement, les menaces de ransomware concernaient surtout les environnements Windows. Cependant, le paysage évoluant, les ransomwares sur les systèmes Linux gagnent du terrain. L’étude de CPR analyse 12 familles de ransomware majeurs qui soit ciblent directement les systèmes Linux, soit possèdent des capacités multiplateformes leur permettant d’infecter aussi bien Windows que Linux.

La publication du code source de Babuk en 2021 a joué un rôle essentiel dans la prolifération de plusieurs familles de ransomwares. Une des particularités des ransomwares sur les systèmes Linux est leur relative simplicité par rapport à leurs homologues Windows. Nombre de ces menaces axées sur Linux dépendent en grande partie de la bibliothèque OpenSSL. ChaCha20/RSA et AES/RSA semblent être les algorithmes de chiffrement les plus répandus dans les échantillons analysés.

Si l’on examine l’évolution historique des ransomwares, le premier échantillon identifiable remonte à 1989 et affectait les systèmes Windows. Ce n’est qu’en 2015, avec Linux.Encoder.1, que les ransomwares spécifiques à Linux ont gagné du terrain. Même si les ransomwares sont bien établis dans les systèmes Windows, leurs capacités n’ont été intégrées à Linux que récemment, marquées par une forte hausse des attaques à partir de 2020.

Top of Form

Figure 1 - Familles de ransomwares sur les systèmes Linux.

Figure 2 - Familles de ransomwares sur les systèmes Windows.

L’étude de CPR révèle une tendance à la simplification des familles de ransomwares sur les systèmes Linux. Les fonctions essentielles se réduisent souvent à des processus de chiffrement de base et dépendent en grande partie de configurations et de scripts externes, rendant leur détection difficile et fastidieuse. L’étude souligne également certaines stratégies particulières, notamment en ce qui concerne les systèmes ESXi, et indique que les vulnérabilités des services exposés représentent les principaux vecteurs d’intrusion.

Le ransomware sur les systèmes Linux est conçu de manière stratégique pour les moyennes et grandes entreprises.

Les ransomwares sur les systèmes Linux diffèrent considérablement de leurs homologues Windows en termes de cible et de typologie des victimes. Les ordinateurs personnels et les postes de travail des utilisateurs sont largement équipés de systèmes d’exploitation Windows, mais c’est Linux qui prédomine dans certains déploiements de serveurs. Les ransomwares sur les systèmes Linux se concentrent principalement sur les serveurs accessibles au public ou sur ceux du réseau interne, souvent en profitant des vulnérabilités causées par des infections Windows. Cette situation témoigne d’une tendance manifeste : les ransomwares sur les systèmes Linux sont adaptés de façon très stratégique aux moyennes et grandes entreprises, contrairement aux menaces plus généralisées que représentent les ransomwares sur Windows. Les structures internes propres aux deux systèmes influencent également les approches des attaquants dans le choix des dossiers et des fichiers à chiffrer. Les échantillons Linux contournent souvent les répertoires sensibles pour éviter toute altération du système. Voilà qui confirme le caractère ciblé et complexe des ransomwares sur les systèmes Linux comparé à leurs équivalents sur Windows.

Après avoir comparé les techniques de chiffrement entre les systèmes Windows et Linux, CPR montre une tendance à privilégier OpenSSL dans les ransomwares sur les systèmes Linux, qui recourt généralement au chiffrement AES comme base et privilégie le RSA pour le chiffrement asymétrique. Cette homogénéité entre les différents acteurs de la menace témoigne de l’évolution du paysage des cybermenaces.