Os ataques a sistemas Linux têm aumentado há vários anos. Portanto, um fornecedor de soluções de segurança conduziu um estudo analisando e comparando ataques de ransomware em Linux e Windows.
Os ataques de ransomware em sistemas Linux, especialmente em sistemas ESXi, aumentaram significativamente nos últimos anos. É por isso que a Check Point Research (CPR) investiga as complexidades destes incidentes e faz comparações com os seus homólogos do Windows. Historicamente, as ameaças de ransomware visavam principalmente ambientes Windows.
No entanto, o malware, que visa encriptar os dados das suas vítimas, que os atacantes normalmente só libertam novamente em troca de grandes resgates, está em constante evolução. O ransomware direcionado ao Linux está se tornando cada vez mais importante. O estudo CPR analisa 12 famílias de ransomware conhecidas que visam diretamente sistemas Linux ou possuem recursos de plataforma cruzada que lhes permitem infectar Windows e Linux indiscriminadamente.
Aumento acentuado nos ataques de ransomware em sistemas Linux desde 2021
O lançamento do código-fonte Babuk em 2021 desempenhou um papel crucial na disseminação de várias famílias de ransomware. Aqueles voltados para Linux são caracterizados por sua relativa simplicidade em comparação com seus equivalentes em Windows. Muitas dessas ameaças direcionadas ao Linux dependem fortemente da biblioteca OpenSSL, com ChaCha20/RSA e AES/RSA emergindo como os algoritmos de criptografia mais comuns nas amostras analisadas.
Uma análise do desenvolvimento histórico mostra que o primeiro exemplo identificável de ransomware remonta a 1989 e afetou os sistemas Windows. Somente em 2015, com o Linux.Encoder.1, é que o ransomware específico para Linux ganhou força. Apesar da sofisticação do ransomware em sistemas Windows, só nos últimos anos é que as suas capacidades foram diretamente transferidas para Linux, evidenciado por um aumento significativo de ataques desde 2020.
🔎 Famílias de ransomware Linux (Fonte: Check Point 2023)
🔎 Famílias de ransomware do Windows (fonte Check Point 2023)
O estudo da CPR revela uma tendência de simplificação entre as famílias de ransomware direcionadas ao Linux. A funcionalidade principal geralmente é limitada a processos simples de criptografia que dependem fortemente de configurações e scripts externos, tornando-os difíceis de detectar. O estudo também destaca estratégias específicas focadas principalmente em sistemas ESXi e identifica vulnerabilidades em serviços expostos como vetores de entrada primários.
O ransomware Linux é estrategicamente adaptado para empresas de médio e grande porte
Em termos de tipologia de alvo e vítima, o ransomware Linux difere significativamente de seus equivalentes no Windows. Embora o Windows seja usado principalmente em computadores pessoais e estações de trabalho de usuários, o Linux domina certas implementações de servidor. O ransomware Linux concentra-se principalmente em servidores expostos ou na rede interna que são acessados por meio de bifurcações de infecções do Windows.
Essa segmentação aponta para uma tendência clara: o ransomware para Linux é estrategicamente adaptado para empresas de médio e grande porte, em contraste com as ameaças mais gerais representadas pelo ransomware para Windows. As diferentes estruturas internas de ambos os sistemas também influenciam a abordagem dos invasores na seleção de pastas e arquivos para criptografia. Os exemplos orientados ao Linux geralmente evitam diretórios críticos para evitar danos ao sistema. Isso destaca a natureza direcionada e sofisticada do ransomware Linux em comparação com seus equivalentes no Windows.
Comparando as técnicas de criptografia dos sistemas Windows e Linux, o CPR encontra uma tendência em relação ao OpenSSL no ransomware Linux, com AES (Advanced Encryption Standard) como a pedra angular da criptografia comum e RSA (Rivest–Shamir–Adleman) como a principal escolha assimétrica. Esta consistência entre os diferentes agentes de ameaças sublinha o cenário de ameaças cibernéticas em evolução.
Mais em CheckPoint.com
Sobre o ponto de verificação A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.