Le ransomware Hive s’attaque à Linux et FreeBSD

En plus des machines sous Windows, le ransomware Hive est désormais capable de chiffrer des machines sous Linux et FreeBSD, mais cette nouvelle variante, ne semble pas tout à fait au point. Explications.

Le ransomware Hive, codé en Golang (Go), s'attaque déjà à Windows depuis quelque temps. Le groupe de hackers Hive est actif au moins depuis juin 2021 et il y a déjà eu au moins une trentaine d'entreprises touchées, sans compter celles qui ont payé la rançon.

Désormais, une nouvelle variante, elle aussi codée en Golang, s'en prend aux machines sous Linux et FreeBSD. Cela prouve une fois de plus que les ransomwares s'intéressent de plus en plus à Linux. D'ailleurs, il y a quelques mois on apprenait que le ransomware REvil s'en prenait aux serveurs VMware ESXi.

D'après les chercheurs de chez ESET, qui ont pu analyser précisément cette nouvelle variante du ransomware Hive, tout n'est pas encore au point. Le module de chiffrement est toujours en phase de développement et il lui manque certaines fonctionnalités vis-à-vis de la version Windows. Pour le moment, Hive sous Linux ou FreeBSD supporte un seul commutateur au moment de l'exécution (-no-wipe). Alors que sur la version existante pour Windows, il y a 5 options différentes pour personnaliser l'exécution du ransomware, notamment pour tuer les processus, outrepasser les fichiers inutiles, etc.

Difficile de savoir à quel point les versions Windows et Linux sont proches puisque les noms des paquets et des fonctions ont été obfusqués, probablement avec l'outil gobfuscate, pour rendre le code incompréhensible. Même si pour le moment la version Linux semble bancale, ce n'est qu'une question de temps avant qu'elle devienne pleinement opérationnelle et exploitable par les pirates.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3369 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.