TOOLinux

Le journal du Libre

Les attaques par ransomware évoluent vers les environnements Linux et Cloud

mardi 21 septembre 2021

La première version pour Linux de ChaChi, une backdoor de tunneling DNS basée sur Golang, a récemment été observée sur VirusTotal. Le malware a été configuré pour utiliser des domaines associés aux acteurs du ransomware connus sous le nom de PYSA, alias Menipoza Ransomware Gang.

L’infrastructure ChaChi de PYSA semble être dormante depuis plusieurs semaines, essentiellement parquée et apparemment plus opérationnelle. Il est probable que cet épisode traduise la volonté de PYSA de désormais cibler les hôtes sous Linux et, donc, le cloud.

Les campagnes des acteurs malveillants évoluent, et de plus en plus de ransomwares visent les réseaux sous Linux. Par exemple, les ransomwares BlackMatter, HelloKitty et REvil ont été observés ciblant Linux pour la première fois ces dernières semaines, au travers de serveurs ESXi avec des chiffreurs ELF. Cette tendance doit être surveillée car, à l’inverse des infrastructures traditionnelles fortement sous Windows, l’infrastructure cloud repose à plus de 80 % sur Linux. Cela pourrait ainsi se traduire par des attaques par ransomware toujours plus nombreuses dans le cloud.

En août 2021, le laboratoire de recherche de Lacework a notamment identifié un variant Linux (MD5 : 14abd57e8eb06191f12c0d84f9c1470b) de ChaChi. ChaChi fait référence à un variant personnalisé d’un RAT open-source basé sur Golang qui exploite le tunneling DNS pour la communication C2 (contrôle et commande). Le spécimen a été configuré avec des domaines qui ont été signalés par Palo Alto Networks en juillet : sbvjhs.xyz, sbvjhs.club et firefox-search.xyz.

Si le spécimen n’a été observé que récemment, il avait été téléchargé sur VirusTotal dès le 14 juin 2021 et affichait à l’époque un taux de détection par les antivirus de seulement 1/61. Au 20 septembre 2021, ce taux était déjà passé à 31/61.

Le variant Linux partage certaines caractéristiques avec son homologue Windows, les principales étant ses fonctionnalités de base, la taille importante du fichier (plus de 8 Mo) et l’utilisation de l’obfuscateur Golang Gobfuscate. La version Linux dispose toutefois d’une caractéristique distinctive : la présence d’une sortie de débogage contenant des données de type date.

ChaChi utilise des serveurs de noms personnalisés qui servent également de C2 pour supporter le protocole de tunneling DNS. Ainsi, les hôtes C2 peuvent être identifiés par une analyse DNS passive des domaines des serveurs de noms. L’analyse montre que la majorité de l’infrastructure de ChaChi est parquée ou hors ligne depuis le 23 ou le 24 juin 2021. Les deux exceptions à cette règle semblent être les domaines ns1.ccenter.tech et ns2.spm.best.

A date, deux domaines du variant Linux (sbvjhs.xyz et sbvjhs.club) se résolvent vers l’adresse IP Amazon 99.83.154.118. Cette IP correspond à un hôte accélérateur AWS Global et enregistre plusieurs détections par les antivirus sur VirusTotal. Cependant, notre analyse indique qu’elle est très probablement utilisée par Namecheap à des fins de parking de domaines et ne devrait pas servir d’indicateur de compromission pour ChaChi.

De nombreux acteurs ciblent des architectures multiples pour augmenter leur présence, ce qui pourrait être le motif ici et représenter une évolution des opérations de PYSA. On ne sait pas actuellement si le variant Linux a été utilisé dans les opérations, mais il a été observé avant que l’infrastructure associée ne soit mise hors ligne. La sortie de débogage observée pourrait toutefois indiquer que le spécimen est encore en phase de test.

Les ransomwares sont extrêmement lucratifs et les acteurs malveillants sont continuellement à la recherche de toute opportunité susceptible d’augmenter leurs profits. Bien que les ransomwares impliquant des serveurs Linux et des infrastructures cloud soient encore rares, ils constituent une menace réelle pour les activités des entreprises et les données des clients.

- Philippe Van Hove, VP EMEA South and Central, Lacework