El ransomware ha dominado los titulares de las noticias sobre seguridad cibernética durante la última década, y por una buena razón. A través de una combinación de encriptación avanzada y mecanismos efectivos de extorsión, un ataque de ransomware puede tener consecuencias devastadoras para cualquier víctima, incluida la pérdida de datos, el daño a la reputación, los costos de recuperación y un tiempo de inactividad significativo.
Si bien el 85% de los ataques de ransomware tienen como objetivo los sistemas Windows, Linux se está convirtiendo en un objetivo cada vez más popular debido al alto valor de los dispositivos que alimenta, es decir, servidores que administran redes empresariales y gubernamentales, servicios web y bases de datos masivas propiedad de organizaciones que pueden permitirse el lujo de pague para restaurar las operaciones y los datos críticos después de un ataque. Aunque las variantes de ransomware que apuntan a dispositivos Linux todavía son una minoría, el ransomware de Linux ha demostrado ser diverso y sofisticado en sus técnicas de distribución y métodos de extorsión. En este artículo, examinaremos la anatomía de un ataque de ransomware de Linux, exploraremos la magnitud del riesgo de ransomware que enfrentan los usuarios de Linux en comparación con los usuarios de Windows y ofreceremos algunos consejos y sugerencias para protegerse contra el ransomware de Linux.
Anatomía de un ataque de ransomware de Linux
El ransomware de Linux se puede caracterizar por la sofisticación y diversidad de las tácticas, métodos y técnicas que emplea para comprometer los sistemas y generar ganancias para sus operadores. Los ataques de ransomware dirigidos a sistemas Linux generalmente se llevan a cabo en una serie de pasos claramente definidos, comenzando con la explotación de una o varias vulnerabilidades sin parchear y terminando con un día de pago para los atacantes. Echemos un vistazo más de cerca a la anatomía de un ataque de ransomware de Linux, desglosado paso a paso, para ayudarlo a obtener una comprensión más completa de esta creciente amenaza para sus sistemas y sus datos.
Paso 1: Infección
A diferencia de las variantes de ransomware de Windows que se propagan por correo electrónico o mala publicidad, la infección de ransomware de Linux se basa en la explotación de vulnerabilidades. El ransomware de Linux explota las vulnerabilidades del sistema sin parches o las fallas en un servicio, como un servidor web o un servidor de correo electrónico, para obtener acceso a un sistema de destino y comprometer archivos. Por ejemplo, el infame ransomware Lilocked explota versiones desactualizadas del agente de transferencia de mensajes Exim para afianzarse en un entorno de destino. Rex, otra variedad peligrosa de ransomware de Linux, utiliza escáneres de vulnerabilidades específicos de Drupal, WordPress, Magento, Kerner, Airos, Exagrid y Jetspeed para detectar vulnerabilidades de inyección SQL que pueden explotarse para obtener credenciales de administrador.
Una vez en el entorno de destino, el operador del ransomware "llama a casa" para descargar un ejecutable oculto al conectarse a una lista predefinida de direcciones IP que alojan el servidor de comando y control (C2). En este punto, el atacante normalmente copia el ejecutable malicioso en un directorio local como la carpeta Temp y luego finaliza y elimina el script. La carga útil maliciosa ahora se ejecuta en el entorno de destino.
Las cepas de ransomware de Linux a menudo poseen capacidades de escalada de privilegios, como las que se ven en las notorias variantes Lucifer y NotPetya. Estas funciones avanzadas permiten a los operadores de ransomware acceder a partes de un sistema que serían inaccesibles sin un acceso privilegiado. Si bien el ransomware de Linux generalmente solo afecta a quienes usan el servidor web comprometido, la escalada de privilegios puede aumentar tanto el alcance de un ataque como su impacto general.
Paso 2: puesta en escena
Este paso puede verse como la parte de "limpieza" de un ataque de ransomware de Linux. El ransomware se configura para un funcionamiento sin problemas al atender varios elementos, incluido moverse a una nueva carpeta y establecer la persistencia en el entorno de destino, lo que le brinda capacidades como la capacidad de ejecutarse en el arranque, ejecutarse en modo de recuperación y deshabilitar la recuperación. modo en total. En esta etapa del ataque, el ransomware se comunica con el servidor C2 para negociar su clave pública, que el operador genera y coloca en el ransomware para cifrar la clave simétrica generada aleatoriamente.
Paso 3: Escaneo
Ahora que el ransomware ha establecido la persistencia y se ha configurado para el éxito, se prepara para cifrar los archivos de destino. El ransomware escanea los sistemas comprometidos en busca de una lista predefinida de extensiones de archivo y repositorios de almacenamiento de archivos en la nube de interés, mapeando las ubicaciones de estos archivos y repositorios.
Paso 4: Cifrado
La fase de cifrado de un ataque es cuando se produce el daño real. Hasta este punto, no ha ocurrido nada potencialmente irreversible: el malware simplemente se ha instalado y ha inspeccionado el entorno de destino. Ahora, el ransomware crea una versión cifrada de los archivos de destino utilizando una clave simétrica aleatoria que genera y cifra la clave simétrica con su clave pública. Luego elimina la versión original de los archivos que ha cifrado. Para cada ubicación donde se cifraron los archivos, se crean copias de notas de rescate generadas automáticamente en múltiples formatos.
En el caso de que las ubicaciones de almacenamiento en red o en la nube que se descubrieron y mapearon en el proceso de escaneo dejen de estar disponibles, el ransomware puede permanecer pacientemente inactivo en el entorno de destino (dependiendo de la persistencia que estableció durante la fase de preparación) hasta que estas ubicaciones estén disponibles para su uso. cifrado una vez más.
Paso 5: Extorsión
Una vez que se completa el proceso de cifrado, se muestra una nota de rescate que proporciona instrucciones de pago explícitas como fondo de escritorio de la víctima. En este punto, el ransomware finaliza y se elimina solo, ya que su misión en el entorno de destino está completa.
Mientras tanto, los operadores de ransomware esperan que se pague el rescate en Bitcoin imposible de rastrear a una billetera de su propiedad. La víctima debe decidir si está dispuesta a pagar el rescate a cambio del descifrado de los archivos bloqueados, o aceptar el hecho de que los archivos cifrados en el ataque sean permanentemente inaccesibles. A menudo, es útil contar con una empresa de recuperación de ransomware en este punto, ya que pueden ofrecer consejos y, en algunos casos, ubicar una clave de descifrado que se puede usar para recuperar archivos bloqueados.
Conclusiones clave
El ransomware de Linux está en aumento, pero el riesgo de ransomware sigue siendo significativamente menor para los usuarios de Linux que para sus homólogos que usan Windows y MacOS. Aunque Linux se está convirtiendo en un objetivo cada vez más atractivo entre los desarrolladores y operadores de ransomware, la gran mayoría del ransomware todavía se dirige a los sistemas Windows y, como resultado del sistema de privilegios al que se adhiere Linux, el impacto de un ataque de ransomware que explota un servidor web Linux vulnerable es generalmente mucho más pequeño que un ataque de ransomware que afecta a un sistema Windows.
Además, debido a que Linux es un sistema operativo de código abierto, el código fuente de Linux se somete a un escrutinio constante por parte de los "muchos ojos" de la comunidad global de código abierto. Como resultado, las vulnerabilidades en Linux que podrían explotarse en ataques de ransomware generalmente se identifican y corrigen mucho más rápido que los errores de seguridad que existen en los sistemas operativos propietarios.
Dicho esto, el ransomware de Linux es una amenaza grave y creciente a la que se enfrentan todos los administradores y usuarios, y debe verse como tal. Debido a que los ataques de ransomware de Linux explotan vulnerabilidades sin parches, la administración responsable y segura es fundamental para evitar el compromiso. El fundador de LinuxSecurity, Dave Wreski, explica: “La mayoría de los ataques a servidores Linux se pueden atribuir a errores de configuración y mala administración. Probar y verificar con frecuencia la seguridad del servidor es la única forma en que los administradores pueden asegurarse de que sus servidores estén a salvo de ransomware, rootkits y otras vulnerabilidades maliciosas”.
Estos son nuestros mejores consejos y sugerencias para protegerse contra el ransomware de Linux:
- Realice copias de seguridad de archivos críticos y diversifique los medios de almacenamiento para evitar un punto único de falla (SPOF). Esto no evitará un ataque, pero puede mitigar el daño potencial.
- Mantenga los servidores y puntos finales actualizados para asegurarse de que utilizan los parches de seguridad más recientes.
- Implemente el principio de privilegio mínimo para las cuentas de usuario.
- Supervise de cerca la actividad de la red y los registros del sistema.
- Controle los registros de eventos para identificar comportamientos anómalos antes de que causen daños.
- Utilice una combinación de filtrado de IP, un sistema de detección de intrusos (IDS) y un sistema de prevención de intrusos (IPS).
- Utilice extensiones de seguridad de Linux que controlen y restrinjan el acceso a datos o recursos de red.
- Implemente una sólida segmentación de red y compartimentación de datos para minimizar el impacto de un posible ataque de ransomware.
- Auditar los sistemas regularmente.
El resultado final: el ransomware de Linux es una amenaza grave y cada vez más frecuente; sin embargo, los ataques se pueden prevenir con una buena administración y la implementación de las mejores prácticas de seguridad.
Fuente: https://linuxsecurity.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios