ransomware на Linux
Check Point Research публичен сравнително проучване на ransomware атаки срещу Linux и Windows и в това се разкрива важна тенденция, увеличаването на атаките срещу Linux системи.
В тяхното скорошно проучване CPR разкрива подчертана тенденция към опростяване в семействата на ransomware, насочени към Linux, с основни функции, сведени до основни процеси на криптиране, които позволяват тези заплахи да бъдат незабележими и трудни за откриване.
Анте увеличаването на рансъмуер атаките срещу Linux през последните години (особено на ESXi системи), Проучването установява сравнения на техниките разкрито е криптиране между Windows и Linux и предпочитание за алгоритмите ChaCha20/RSA и AES/RSA в рансъмуер на Linux.
Сега Четенето или чуването на новини за ransomware атака срещу Linux не е толкова често, тъй като исторически заплахите за ransomware са се фокусирали предимно върху среди на Windows. И това не е защото Linux е 100% защитен (защото в действителност не е и никоя система няма да бъде), а тъй като Windows е "по-комерсиална" система и доминира пазара на настолни системи, хакерите обикновено го имат за основна цел.
Въпреки това, с развитието на пейзажа, Рансъмуерът за Linux набира все повече позиции. Това ни казва CPR в своето проучване, в което се споменава, че е анализирал 12 семейства рансъмуер които или са насочени директно към Linux системи, или имат възможности за различни платформи, които им позволяват да заразяват както Windows, така и Linux.
Една от особеностите на ransomware в Linux е неговата относителна простота в сравнение с неговите аналогове в Windows. Много от тези заплахи за Linux са фокусирани върху OpenSSL.
Изображение 1: Семейства рансъмуер за Linux.
Изображение 2: Семейства рансъмуер за Windows
В изображенията, споделени от CPR, можем да наблюдаваме историческата еволюция на ransomware, първата идентифицируема проба датира от 1989 г. и засяга Windows. Едва през 2015 г., с Linux.Encoder.1, рансъмуерът на Linux придоби популярност.
Анализът CPR разкрива ясна склонност към опростяване на семейства рансъмуер на Linux. Това явление Характеризира се с намаляване на основните функции до основни процеси на криптиране, разчитайки до голяма степен на външни конфигурации и скриптове. Тази стратегия не само затруднява откриването му, но и предполага значителен разход на време за идентифицирането му. Проучването подчертава конкретни стратегии, особено във връзка със системите ESXi, като отбелязва, че уязвимостите в откритите услуги представляват основните вектори на атака.
Ransomware, насочен към Linux, показва забележителни разлики по отношение на цели и жертви в сравнение с техните колеги за Windows. Докато Windows преобладава в персоналните компютри и работни станции на потребителите, Linux преобладава в множество сървърни реализации. В този контекст, ransomware на Linux е концентриран предимно върху публично достъпни сървъри или такива във вътрешната мрежа, често използва уязвимости, генерирани от инфекции в Windows системи.
Тази ситуация отразява ясна тенденция: ransomware на Linux е проектиран по много стратегически начин за средни и големи компании, за разлика от по-разпространените заплахи, породени от ransomware в Windows. Специфичните вътрешни структури на двете системи също влияят върху подходите на атакуващите да избират кои папки и файлове да криптират. Примерите за Linux често пропускат чувствителни директории, за да предотвратят повреда на системата. Това потвърждава сложния и специфичен характер на ransomware в Linux в сравнение с неговите колеги в Windows.
Основните цели на изследването CPR беше да разбера по-добре основните мотивации за разработване на ransomware, насочен към Linux вместо Windows, което винаги е било основна цел до сега. Освен това имаше за цел да идентифицира основните прилики и разлики между рансъмуера, разработен от тези семейства, и да ги сравни с рансъмуера, разработен за системи на Microsoft.
LОсновната и най-забележителна мотивация несъмнено е особеното интерес към системите за виртуализация ESXi. Всъщност, като атакуват тези системи, нападателите могат да имат значително въздействие върху множество услуги и машини (всички виртуализирани с помощта на тази технология), като се фокусират само върху този ESXi сървър, вместо да се опитват да се преместят на няколко различни компютъра и сървъри, работещи под Windows.
Вероятно това е причината по-голямата част от семействата на ransomware, насочени към Linux, въпреки че имат много малко възможности извън самото криптиране, са склонни да изпълняват специфични команди, предназначени да взаимодействат със зловреден софтуер.
най-накрая, ако сте заинтересовани да научите повече за това, можете да проверите подробностите в следваща връзка.