You have not selected any currencies to display

Bl0ckch41nnewsEl ransomware apunta a sistemas de virtualización y servidores Linux

38


A menudo, las estaciones de trabajo de Windows, los servidores de Active
Directory y otros productos de Microsoft son los principales candidatos, una
estrategia que suele estar justificada. Pero debemos tener en cuenta que las
tácticas de los ciberdelincuentes están en constante evolución y que ya se
están desarrollando
herramientas maliciosas para servidores Linux
y sistemas de virtualización.

Según un
análisis realizado por Trend Micro,
«los servidores Linux están cada vez más bajo el fuego de los ataques de
ransomware»
, con un aumento del 75% en las detecciones en el transcurso del último año,
ya que los ciberdelincuentes buscan expandir sus ataques más allá de los
sistemas operativos Windows.

Y no son solo los grupos de ransomware los que están dirigiendo cada vez más
su atención hacia Linux: según Trend Micro,
ha habido un aumento del 145% en los ataques de malware de minería de
criptomonedas basados en Linux
, donde los ciberdelincuentes explotan en secreto el poder de las
computadoras y servidores infectados. para minar criptomonedas por sí mismos.

La motivación que hay detrás de estos ataques está muy clara: la
popularidad del código abierto y la virtualización está en aumento, lo que significa que cada vez hay más servidores que ejecutan Linux o
VMWare ESXi. Estos suelen almacenar una gran cantidad de información crítica
que, si se cifra, puede paralizar al instante las operaciones de una empresa.
Y, dado que la seguridad de los sistemas Windows ha sido tradicionalmente el
centro de atención, el resto de los servidores están demostrando ser una presa
fácil.

Ataques conocidos contra Linux y ESXi

  • En febrero del 2023, muchos propietarios de servidores VMware ESXi se vieron
    afectados por el brote de
    ransomware ESXiArgs. Aprovechando la vulnerabilidad CVE-2021-21974, los atacantes
    deshabilitaron las máquinas virtuales y cifraron los archivos .vmxf, .vmx,
    .vmdk, .vmsd y .nvram.
  • El famoso grupo Clop, conocido por un
    ataque a gran escala
    contra los servicios vulnerables de transferencia de archivos Fortra
    GoAnywhere a través de la
    CVE-2023-0669,
    fue detectado en diciembre del 2022 usando, aunque con limitaciones, una
    versión para Linux de su ransomware. Esta se diferencia significativamente
    de su equivalente para Windows (carece de algunas optimizaciones y trucos
    defensivos), pero se adapta a los permisos y tipos de usuarios de Linux y se
    dirige específicamente a las
    carpetas de bases de datos de Oracle.
  • Una nueva versión del
    ransomware BlackBasta
    está diseñada especialmente para ataques a hipervisores ESXi. La estrategia
    de cifrado utiliza el algoritmo ChaCha20 en el modo de múltiples subprocesos
    que involucra múltiples procesadores. Dado que las granjas ESXi suelen ser
    multiprocesador, este algoritmo minimiza el tiempo necesario para cifrar
    todo el entorno.
  • Poco antes de su desintegración, el grupo de ciberdelincuentes Conti también
    se armó con un ransomware que tenía a ESXi como objetivo. Por desgracia,
    dado que gran parte del código de Conti acabó filtrado, sus desarrollos
    ahora están en manos de los ciberdelincuentes.
  • El ransomware BlackCat, escrito en Rust, también puede deshabilitar y
    eliminar máquinas virtuales ESXi. En otros aspectos, el código malicioso
    difiere ligeramente de la versión de Windows.
  • El
    ransomware Luna, que detectamos en el 2022, era originalmente una multiplataforma, capaz
    de ejecutarse en sistemas Windows, Linux y ESXi. Y, por supuesto, el grupo
    LockBit
    difícilmente pudo ignorar esta tendencia y también comenzó a ofrecer
    versiones para ESXi de su malware a los afiliados.
  • En cuanto a los ataques más antiguos (aunque, lamentablemente, efectivos),
    también estaban las campañas RansomEXX y QNAPCrypt, que afectaron en gran
    medida a los
    servidores Linux.

Las tácticas de ataque contra el servidor

Para penetrar en servidores Linux, generalmente hay que explotar
vulnerabilidades. Los atacantes pueden convertir estas vulnerabilidades en
armas dentro del sistema operativo, los servidores web y otras aplicaciones
básicas, así como en las aplicaciones corporativas, las bases de datos y los
sistemas de virtualización.

Como
demostró Log4Shell el año pasado, las vulnerabilidades en los componentes de código abierto requieren una
atención especial. Después de una infracción inicial, muchas cepas del
ransomware utilizan trucos o vulnerabilidades adicionales para elevar los
privilegios y cifrar el sistema.

Fuente:
Kaspersky



Source link

Los comentarios están cerrados.