A menudo, las estaciones de trabajo de Windows, los servidores de Active Directory y otros productos de Microsoft son los principales candidatos, una estrategia que suele estar justificada. Pero debemos tener en cuenta que las tácticas de los ciberdelincuentes están en constante evolución y que ya se están desarrollando herramientas maliciosas para servidores Linux y sistemas de virtualización.
Según un análisis realizado por Trend Micro, “los servidores Linux están cada vez más bajo el fuego de los ataques de ransomware”, con un aumento del 75% en las detecciones en el transcurso del último año, ya que los ciberdelincuentes buscan expandir sus ataques más allá de los sistemas operativos Windows.
Y no son solo los grupos de ransomware los que están dirigiendo cada vez más su atención hacia Linux: según Trend Micro, ha habido un aumento del 145% en los ataques de malware de minería de criptomonedas basados en Linux, donde los ciberdelincuentes explotan en secreto el poder de las computadoras y servidores infectados. para minar criptomonedas por sí mismos.
La motivación que hay detrás de estos ataques está muy clara: la popularidad del código abierto y la virtualización está en aumento, lo que significa que cada vez hay más servidores que ejecutan Linux o VMWare ESXi. Estos suelen almacenar una gran cantidad de información crítica que, si se cifra, puede paralizar al instante las operaciones de una empresa. Y, dado que la seguridad de los sistemas Windows ha sido tradicionalmente el centro de atención, el resto de los servidores están demostrando ser una presa fácil.
Ataques conocidos contra Linux y ESXi
- En febrero del 2023, muchos propietarios de servidores VMware ESXi se vieron afectados por el brote de ransomware ESXiArgs. Aprovechando la vulnerabilidad CVE-2021-21974, los atacantes deshabilitaron las máquinas virtuales y cifraron los archivos .vmxf, .vmx, .vmdk, .vmsd y .nvram.
- El famoso grupo Clop, conocido por un ataque a gran escala contra los servicios vulnerables de transferencia de archivos Fortra GoAnywhere a través de la CVE-2023-0669, fue detectado en diciembre del 2022 usando, aunque con limitaciones, una versión para Linux de su ransomware. Esta se diferencia significativamente de su equivalente para Windows (carece de algunas optimizaciones y trucos defensivos), pero se adapta a los permisos y tipos de usuarios de Linux y se dirige específicamente a las carpetas de bases de datos de Oracle.
- Una nueva versión del ransomware BlackBasta está diseñada especialmente para ataques a hipervisores ESXi. La estrategia de cifrado utiliza el algoritmo ChaCha20 en el modo de múltiples subprocesos que involucra múltiples procesadores. Dado que las granjas ESXi suelen ser multiprocesador, este algoritmo minimiza el tiempo necesario para cifrar todo el entorno.
- Poco antes de su desintegración, el grupo de ciberdelincuentes Conti también se armó con un ransomware que tenía a ESXi como objetivo. Por desgracia, dado que gran parte del código de Conti acabó filtrado, sus desarrollos ahora están en manos de los ciberdelincuentes.
- El ransomware BlackCat, escrito en Rust, también puede deshabilitar y eliminar máquinas virtuales ESXi. En otros aspectos, el código malicioso difiere ligeramente de la versión de Windows.
- El ransomware Luna, que detectamos en el 2022, era originalmente una multiplataforma, capaz de ejecutarse en sistemas Windows, Linux y ESXi. Y, por supuesto, el grupo LockBit difícilmente pudo ignorar esta tendencia y también comenzó a ofrecer versiones para ESXi de su malware a los afiliados.
- En cuanto a los ataques más antiguos (aunque, lamentablemente, efectivos), también estaban las campañas RansomEXX y QNAPCrypt, que afectaron en gran medida a los servidores Linux.
Las tácticas de ataque contra el servidor
Para penetrar en servidores Linux, generalmente hay que explotar vulnerabilidades. Los atacantes pueden convertir estas vulnerabilidades en armas dentro del sistema operativo, los servidores web y otras aplicaciones básicas, así como en las aplicaciones corporativas, las bases de datos y los sistemas de virtualización.
Como demostró Log4Shell el año pasado, las vulnerabilidades en los componentes de código abierto requieren una atención especial. Después de una infracción inicial, muchas cepas del ransomware utilizan trucos o vulnerabilidades adicionales para elevar los privilegios y cifrar el sistema.
Fuente: Kaspersky