Gli attacchi ai sistemi Linux sono in aumento da diversi anni. Un fornitore di soluzioni di sicurezza ha quindi condotto uno studio analizzando e confrontando gli attacchi ransomware contro Linux e Windows.
Negli ultimi anni gli attacchi ransomware ai sistemi Linux, in particolare ai sistemi ESXi, sono aumentati in modo significativo. Ecco perché Check Point Research (CPR) approfondisce la complessità di questi incidenti e fa paragoni con le loro controparti Windows. Storicamente, le minacce ransomware hanno preso di mira principalmente gli ambienti Windows.
Tuttavia, il malware che mira a crittografare i dati delle sue vittime, che gli aggressori rilasciano di solito solo in cambio di ingenti riscatti, è tuttavia in continua evoluzione. Il ransomware che prende di mira Linux sta diventando sempre più importante. Lo studio CPR analizza 12 famiglie di ransomware note che prendono di mira direttamente i sistemi Linux o hanno funzionalità multipiattaforma che consentono loro di infettare indiscriminatamente sia Windows che Linux.
Forte aumento degli attacchi ransomware sui sistemi Linux dal 2021
Il rilascio del codice sorgente Babuk nel 2021 ha svolto un ruolo cruciale nella diffusione di varie famiglie di ransomware. Quelli rivolti a Linux si caratterizzano per la loro relativa semplicità rispetto alle controparti Windows. Molte di queste minacce mirate a Linux fanno molto affidamento sulla libreria OpenSSL, con ChaCha20/RSA e AES/RSA che emergono come gli algoritmi di crittografia più comuni nei campioni analizzati.
Uno sguardo allo sviluppo storico mostra che il primo esempio riconoscibile di ransomware risale al 1989 e colpiva i sistemi Windows. Fu solo nel 2015, con Linux.Encoder.1, che il ransomware specifico per Linux prese piede. Nonostante la sofisticatezza del ransomware nei sistemi Windows, solo negli ultimi anni le sue capacità sono state trasferite direttamente su Linux, come dimostra un aumento significativo degli attacchi a partire dal 2020.
🔎 Famiglie di ransomware Linux (Fonte: Check Point 2023)
🔎 Famiglie di ransomware Windows (fonte Check Point 2023)
Lo studio CPR rivela una tendenza verso la semplificazione tra le famiglie di ransomware che prendono di mira Linux. Le funzionalità principali sono spesso limitate a semplici processi di crittografia che fanno molto affidamento su configurazioni e script esterni, rendendoli difficili da rilevare. Lo studio evidenzia inoltre strategie specifiche focalizzate principalmente sui sistemi ESXi e identifica le vulnerabilità nei servizi esposti come vettori di ingresso primari.
Il ransomware Linux è strategicamente adattato alle aziende di medie e grandi dimensioni
In termini di tipologia di target e vittime, il ransomware Linux differisce notevolmente dalle sue controparti Windows. Mentre Windows viene utilizzato principalmente su personal computer e workstation degli utenti, Linux domina alcune implementazioni server. Il ransomware Linux si concentra principalmente sui server esposti o su quelli all'interno della rete interna a cui si accede tramite fork delle infezioni di Windows.
Questo attacco evidenzia una tendenza chiara: il ransomware Linux è strategicamente adattato alle medie e grandi imprese, in contrasto con le minacce più generali poste dal ransomware Windows. Le diverse strutture interne dei due sistemi influenzano anche l'approccio degli aggressori nella scelta delle cartelle e dei file da crittografare. Gli esempi orientati a Linux spesso evitano le directory critiche per prevenire danni al sistema. Ciò evidenzia la natura mirata e sofisticata del ransomware Linux rispetto alle controparti Windows.
Confrontando le tecniche di crittografia dei sistemi Windows e Linux, CPR rileva una preferenza verso OpenSSL nel ransomware Linux, con AES (Advanced Encryption Standard) come pietra angolare comune della crittografia e RSA (Rivest–Shamir–Adleman) come scelta asimmetrica primaria. Questa coerenza tra i diversi attori delle minacce sottolinea l’evoluzione del panorama delle minacce informatiche.
Altro su CheckPoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.