Le système d'exploitation Linux devient de plus en plus attrayant pour les acteurs malveillants, selon un rapport de Crowdstrike.
Les dernières données de télémétrie des menaces de l'entreprise ont montré que les logiciels malveillants destinés au système d'exploitation populaire ont augmenté de plus d'un tiers (35 %) en 2021, par rapport à l'année précédente.
Selon Crowdstrike, Linux est une cible populaire pour les cybercriminels en raison de sa popularité parmi les développeurs d'infrastructures cloud et les fabricants de serveurs Web. De plus, il alimente également la plupart des appareils mobiles et IoT.
Objectif
Parmi tous les logiciels malveillants présents, trois familles seulement représentent près d’un quart (22 %) de tous les logiciels malveillants basés sur Linux détectés en 2021. Il s’agit de XorDDoS, Mirai et Mozi. Son objectif principal est d'assimiler les points finaux cibles dans un botnet, à utiliser pour des attaques par déni de service distribué (DDos).
Le malware XorDDoS, par exemple, a enregistré 123 % d’échantillons en plus en 2021 par rapport à l’année précédente, tandis que Mozi a été multiplié par dix au cours de la même période.
Le troisième malware le plus populaire est Mirai et toutes ses branches. Crowdstrike affirme qu'il s'agit d'un « ancêtre commun » pour de nombreux échantillons de logiciels malveillants émergents d'aujourd'hui, tels que Sora (en hausse de 33 %), IZIH9 (39 %) ou Rekai (83 %).
Attaques DDoS et cryptomineurs
Les acteurs malveillants peuvent utiliser de nombreuses façons pour attaquer les appareils fonctionnant sous Linux, depuis la recherche de ceux dont les informations d'identification sont cryptées jusqu'au ciblage de ceux dont les ports sont ouverts, ou ceux présentant des vulnérabilités connues et non corrigées.
À l’avenir, les choses ne s’amélioreront pas non plus. Crowdstrike s'attend à ce que plus de 30 milliards d'appareils IoT soient connectés à Internet d'ici trois ans, créant ainsi une surface d'attaque potentiellement importante.
Un botnet est, comme son nom l’indique, un réseau de robots qui effectuent des tâches spécifiques pour leur administrateur. Ils sont généralement chargés d’attaques DDoS, mais peuvent souvent être utilisés pour exploiter des cryptomonnaies. L'un des botnets les plus importants et les plus populaires était Mirai, qui a été utilisé en 2016, entre autres, pour attaquer l'opérateur de serveur de noms de domaine Dyn. Mirai a été démantelée trois ans plus tard, grâce à un raid conjoint de plusieurs forces de l'ordre.