24/11/2024

Actu Cybersécurité

Le ransomware IceFire s’attaque aux serveurs Linux et Windows !

Les systèmes Linux sont pris pour cible par le ransomware IceFire, qui bénéficie d'un module de chiffrement dédié à ce système, en plus de pouvoir s'attaquer à Windows.

Le ransomware IceFire est actif à l'échelle mondiale, et d'après les chercheurs en sécurité de chez SentinelLabs, plusieurs médias et entreprises dans le domaine du divertissement ont déjà fait les frais de ce ransomware, depuis la mi-février. Une fois l'infrastructure compromise, le ransomware IceFire s'en prend aux serveurs Linux dans le but de les chiffrer. Toutefois, cette menace existe depuis au moins mars 2022.

Il est plus difficile de compromettre un système Linux car les techniques habituelles, via une campagne de phishing par exemple, sont moins efficaces. De ce fait, les cybercriminels ciblent plutôt des failles de sécurité facilement exploitables.

Dans le cas présent, le gang de ransomware IceFire cherche à exploiter la faille de sécurité CVE-2022-47986 située dans le système de transfert de fichiers IBM Aspera Faspex. IBM a déjà patché cette vulnérabilité en janvier 2023, mais depuis début février, elle est régulièrement utilisée dans le cadre de cyberattaques.

Si l'on regarde sur le moteur Shodan, il y a au moins 159 serveurs IBM Aspera Faspex exposés sur Internet ! Si ces serveurs ne sont pas à jour, ils pourraient subir les foudres du ransomware IceFire. La majorité des serveurs identifiés par Shodan sont localisés aux Etats-Unis et en Chine, et il y en a au moins 3 en France. Si les administrateurs de ces serveurs passent par-là...!

Shodan - IBM Aspera Faspex - Mars 2023
Source : Shodan

Que se passe-t-il lorsqu'une machine est compromise par ce ransomware ?

Quand des données sont chiffrées par le ransomware IceFire, les fichiers héritent de l'extension ".ifire". Lorsqu'il agit sur une machine Linux, le ransomware ne chiffre pas l'ensemble des données. Il fait en sorte de ne pas affecter les répertoires critiques, de façon à ce que le système reste fonctionnel, tout en affectant les données. Ainsi, la machine chiffrée reste allumée !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Le ransomware IceFire s’attaque aux serveurs Linux et Windows !

  • les serveurs qui sont exposés devraient êtres a tout prix garder a l oeuil !

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.