Los ataques a sistemas Linux vienen aumentando desde hace varios años. Por ello, un proveedor de soluciones de seguridad realizó un estudio analizando y comparando los ataques de ransomware en Linux y Windows.
Los ataques de ransomware a sistemas Linux, particularmente a sistemas ESXi, han aumentado significativamente en los últimos años. Es por eso que Check Point Research (CPR) profundiza en las complejidades de estos incidentes y hace comparaciones con sus homólogos de Windows. Históricamente, las amenazas de ransomware se han dirigido principalmente a entornos Windows.
Sin embargo, el malware, que tiene como objetivo cifrar los datos de sus víctimas, que luego los atacantes normalmente sólo liberan a cambio de grandes rescates, está en constante evolución. El ransomware dirigido a Linux es cada vez más importante. El estudio de CPR analiza 12 familias de ransomware conocidas que se dirigen directamente a sistemas Linux o tienen capacidades multiplataforma que les permiten infectar tanto Windows como Linux de forma indiscriminada.
Fuerte aumento de los ataques de ransomware a sistemas Linux desde 2021
El lanzamiento del código fuente de Babuk en 2021 ha desempeñado un papel crucial en la propagación de varias familias de ransomware. Los dirigidos a Linux se caracterizan por su relativa sencillez respecto a sus homólogos de Windows. Muchas de estas amenazas dirigidas a Linux dependen en gran medida de la biblioteca OpenSSL, siendo ChaCha20/RSA y AES/RSA los algoritmos de cifrado más comunes en las muestras analizadas.
Una mirada al desarrollo histórico muestra que el primer ejemplo identificable de ransomware se remonta a 1989 y afectó a los sistemas Windows. No fue hasta 2015, con Linux.Encoder.1, que el ransomware específico de Linux ganó fuerza. A pesar de la sofisticación del ransomware en los sistemas Windows, sólo en los últimos años sus capacidades se han transferido directamente a Linux, como lo demuestra un aumento significativo de los ataques desde 2020.
El estudio de CPR revela una tendencia hacia la simplificación entre las familias de ransomware dirigidas a Linux. La funcionalidad principal a menudo se limita a procesos de cifrado simples que dependen en gran medida de configuraciones y scripts externos, lo que los hace difíciles de detectar. El estudio también destaca estrategias específicas centradas principalmente en sistemas ESXi e identifica vulnerabilidades en servicios expuestos como vectores de entrada principales.
El ransomware Linux está estratégicamente diseñado para medianas y grandes empresas
En términos de tipología de objetivos y víctimas, el ransomware para Linux se diferencia significativamente de sus homólogos de Windows. Si bien Windows se utiliza principalmente en computadoras personales y estaciones de trabajo de usuarios, Linux domina ciertas implementaciones de servidor. El ransomware de Linux se centra principalmente en servidores expuestos o en aquellos dentro de la red interna a los que se accede a través de bifurcaciones de infecciones de Windows.
Este objetivo apunta a una tendencia clara: el ransomware de Linux está diseñado estratégicamente para empresas medianas y grandes, en contraste con las amenazas más generales que plantea el ransomware de Windows. Las diferentes estructuras internas de ambos sistemas también influyen en el enfoque de los atacantes a la hora de seleccionar carpetas y archivos para cifrar. Los ejemplos orientados a Linux a menudo evitan directorios críticos para evitar daños al sistema. Esto resalta la naturaleza sofisticada y específica del ransomware de Linux en comparación con sus homólogos de Windows.
Al comparar las técnicas de cifrado de los sistemas Windows y Linux, CPR encuentra un sesgo hacia OpenSSL en el ransomware Linux, con AES (Advanced Encryption Standard) como la piedra angular de cifrado común y RSA (Rivest-Shamir-Adleman) como la principal opción asimétrica. Esta coherencia entre los diferentes actores de amenazas subraya la evolución del panorama de las ciberamenazas.
Más en CheckPoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.