Alerte au cyber-espace : des ransomwares inédits mettent en péril les systèmes Windows et Linux

Lockbit 5.0 frappe en même temps Windows, Linux et VMware ESXi, neutralisant postes, serveurs et hyperviseurs en quelques minutes. La nouvelle version, révélée par Trend Micro, cache son code derrière un packing agressif et une DLL-Reflection qui échappe aux antivirus classiques. Les rançons explosent, les sauvegardes sont ciblées : l’écosystème défensif doit réagir sans délai.

L’offensive confirme la stratégie « multi-plateforme » : une seule campagne touche tout un réseau, de la station Microsoft 365 au cluster Kubernetes. Les experts de Cybermalveillance.gouv.fr parlent d’une « accélération sans précédent » alors que les opérations policières de 2024 n’ont pas suffi à stopper la franchise. Les RSSI cherchent désormais des contre-mesures capables d’endiguer la pression économique et l’impact réputationnel.

Ransomware Lockbit 5.0 : anatomie d’un maliciel multiplateforme

La version 5.0 détectée début 2025 ajoute une extension aléatoire de 16 caractères, rendant la restauration manuelle quasi impossible. Contrairement aux moutures antérieures, le binaire s’autoconfigure pour chiffrer sélectivement bases de données et instantanés ESXi, paralysant l’infrastructure virtuelle.

Tactiques d’évasion et chiffrement furtif

Sur Windows, la réflexion de DLL injecte le payload dans des processus signés, grillant la majorité des signatures heuristiques. Sous Linux, une ligne de commande cible les répertoires /home, /srv et les volumes NFS avec un thread par cœur, accélérant le chiffrement. Les environnements ESXi subissent un arrêt des VM, suivi d’un cryptage bloc par bloc ; l’hôte reste opérationnel, masquant l’attaque jusqu’au redémarrage planifié du matin.

Mettre en échec les ransomwares sur Windows, Linux et ESXi

La parade commence par des sauvegardes hors ligne, testées et isolées ; l’horodatage immuable découpe la chaîne d’effraction. Les suites de détection étendues, qu’il s’agisse de Kaspersky, Bitdefender, ESET ou des solutions XDR de Palo Alto Networks et Fortinet, doivent couvrir endpoints, workloads cloud et hyperviseurs.

Plan d’action immédiat pour les équipes IT

Segmenter le réseau limite la latéralisation ; le moindre partage SMB non chiffré devient un chemin royal. Les correctifs Microsoft et kernel doivent être appliqués en continu, car Lockbit se propage via vulnérabilités non corrigées – l’affaire Sopra Steria en 2020 reste un rappel cuisant. Enfin, la supervision de logs via SIEM identifie les excitations CPU anormales, souvent le premier signe d’un chiffrement massif.

Les attaquants accélèrent, les défenseurs ne peuvent plus s’en tenir aux recettes du passé : l’orchestration conjointe sauvegarde, EDR et réponse automatisée devient le standard vital. Ignorer cette montée en puissance, c’est accepter que la prochaine note de rançon soit déjà en chemin.

Source: www.pcwelt.de