Linux-ransomware: Sådan beskytter du din virksomheder
Det kan være vanskeligt at beskytte din virksomhed mod ransomware, især når der bruges forskellige operativsystemer med hver deres niveau af sikkerhed og risiko. Nu hvor medarbejdere sandsynligvis bruger en kombination af Windows, macOS, Linux og mobile operativsystemer, kan det være svært at sikre sig, at din erhvervssikkerhed er konsistent.
Denne artikler handler om Linux-ransomware: Hvad er det, hvor meget sikkerhed har det, de forskellige typer ransomware, der går efter enheder med Linux, og hvad du kan gøre for at beskytte dig mod denne trussel.
Prøv Avast Business Hub GRATIS i 30 dage
Få erhvervssikkerhed uanset din virksomheds størrelse. Download Avast Business Hub, og prøv den risikofrit i 30 dage.
Hvad er Linux-ransomware?
Helt overordnet er Linux-ransomware en type malware, der kan angribe Linux-systemer (inkl. distributioner såsom Ubuntu og Debian). Denne type angreb infiltrerer en enhed eller et netværk, identificerer vigtige dokumenter og krypterer dem. Første gang et angreb bemærkes, er ofte når der sendes en besked med krav om betaling for at returnere de krypterede filer. For en privat person er det skræmmende, men for en virksomhed kan det potentielt set skabe uoprettelig skade på driften og kundetilliden.
Er Linux sikkert?
Selvom Linux er kendt for at have en stærk sikkerhed, hvilket gør den til en populær mulighed for erhvervsservere, er sandheden, at intet operativsystem (OS) er komplet sikret mod malware. Malware er bygget på en sådan måde, at menneskefejl ofte kan være årsagen til et brud – via phishing, brug af svage adgangskoder eller manglende opdateringer, selv når de er tilgængelige.
En af de positive ting for Linux-brugere er, at sikkerhedsopdateringer ikke kun kommer jævnligt, men generelt også betragtes som ganske effektive, så dit system får noget af den bedste OS-sikkerhed på markedet.
En anden god ting er, at Linux automatisk tildeler begrænsede adgangstilladelser, hvilket betyder, at hvis en hacker får adgang til en brugerkonto, er det mindre sandsynligt, at hackeren vil få adgang til sikre data eller administratorkontroller.
Windows og Mac er mere udbredte end Linux, men cyberkriminelle ved, at Linux stiger i popularitet som system til erhvervsservere. Ved at få adgang til et Linux-system er hackere langt mere tilbøjelige til at få adgang til en server i stedet for et enkelt slutpunkt. Af den årsag bør virksomheder være på vagt – du skal bruge antivirus til at reducere risikoen for at blive angrebet.
Ransomware på Linux: Hvad sker der?
Linux-ransomware er en stigende bekymring for virksomheder, der bruger Linux-servere. Det er afgørende at forstå processen for at kunne spotte mistænkelig netværksaktivitet og andre faresignaler. Tilgangen fra angribere varierer, men det følgende repræsenterer de typiske stadier i et Linux-ransomwareangreb.
1. Udnyt sårbarheder
Får at få adgang til et netværk og sprede sig er Linux-ransomware generelt afhængig af at kunne identificere sårbarheder. Det kunne være noget så simpelt som en systemproces med manglende rettelser eller en fejl i en tjeneste. Sårbarheden påvirker muligvis ikke den daglige brug og kan gå ubemærket hen.
Nogle former for Linux-ransomware vil benytte scannere til at identificere sårbarheder for SQL-injektion, som kan give administratoradgang. Det er vigtigt at installere opdateringer og rettelser for at sikre, at kendte sårbarheder rettes.
2. Konfigurer
Når først ransomwaren er trængt ind, vil den anmode om download af skadelige filer (typisk en orm trojansk hest eller virus), som så kan placeres i netværkets lokale mapper. På dette tidspunkt vil den begynde at virke. Det kan f.eks. være at give sig selv bestemte adgangstilladelser og evnen til at køre ved opstart eller i genoprettelsestilstand.
I nogle tilfælde vil ransomwaren bruge rettigheds-eskalering til at tilgå funktioner, der typisk kun bruges af administratorer på højt niveau. Denne bypass betyder, at malwaren vil kunne se og redigere alle data.
3. Scan
Ransomwaren vil scanne systemet og lede efter delte mapper og filer med specifikke filtypenavne. Disse mål er bestemt på forhånd og vil sandsynligvis inkludere dokumentfiler (.PDF, .DOC) og software, der er relateret til clouden eller netværkslager.
Malwaren er muligvis stadig ikke opdaget af din virksomhed, men den kan have etableret sig på din server og allerede fundet de filer, den vil tage som gidsler.
4. Kryptér
I dette stadie af angrebet mod et Linux-system vil ransomwaren oprette en krypteret version af filerne og fjerne de originale. Afhængigt af den anvendte type kryptering kan dette være uopretteligt.
Mange krypteringsmetoder er kendt som asymmetriske, da de anvender et sæt af nøgler til at kryptere og dekryptere data. Én nøgle er typisk offentlig og synlig, men den anden er privat og ejes kun af ophavsmanden. Ransomwaren vil kontakte den cyberkriminelles server for at få en offentlig nøgle til at påbegynde krypteringsprocessen.
Hvis enheder ikke er forbundet til netværket på dette tidspunkt, vil angriberen vente, indtil brugerne er online igen, før de også krypterer deres filer.
Almindelige typer kryptering omfatter:
- AES – Advanced Encryption Standard (Rijndael) er en standard oprettet af U.S. National Institute of Standards and Technology. Nøgler kan være 128, 192 eller 256 bits (jo højere tallet er, jo mere kompleks er krypteringen).
- RSA – er et offentligt nøglesystem, der blev udviklet i 1977. Dets navn er et akronym af sine tre skabere: Rivest-Shamir-Adleman. De er typisk 1024 eller 2048 bits lange og dermed svære at knække.
5. Krav
I det sidste stadie sendes afpresningskravene i en løsepengenote. Det kan være i form af en besked ved opstart, et dokument placeret på skrivebordet eller i samme mappe som de krypterede filer. Noten vil typisk indeholde betalingsinstruktioner. Nogle vil også indeholde en deadline eller nedtælling, så løsesummen bliver større med tiden, eller der trues med at slette filer permanent, hvis betalingen ikke falder i tide.
På dette tidspunkt har ransomwaren fuldført sin opgave.
Typer af Linux-ransomware
Tycoon
Den første forekomst af Tycoon blev opdaget i 2019. Den bruges typisk til at angribe SMV'er og højere uddannelsesinstitutioner. Den kan inficere både Linux- og Windows-enheder.
Systemadgangen opnås via et ZIP-arkiv, der indeholder en skadelig Java-billedfil. Der bruges derefter en ikke-sikret fjernskrivebordsprotokol til at eksekvere Java-objektet, som vil kryptere systemet og efterlade en løsepengenote.
Angrebene har sædvanligvis et vindue på 60 timer til at betale med Bitcoin. I nogle tilfælde stiger beløbet dagligt.
QNAPCrypt
Dette angreb fokuserer på Linux-baserede NAS-enheder (Network-Attached Storage). Distribution sker typisk via falske opdateringer og inficerede filer, inkl. ZIP-arkiver.
QNAPCrypts indgangspunkt er mangelfuld godkendelse af en SOCKS5-proxy (et alternativ til en VPN, der beskytter datapakker under overførsel) og har en lav detekteringsrate. Når et system først er kompromitteret, anmoder malwaren om en Bitcoin-wallet og en offentlig RSA-nøgle fra hackerens server, før ofrets data krypteres.
Når krypteringen er fuldført, efterlades løsesumsoplysningerne i en .txt-fil. Hvert offer får en unik Bitcoin-wallet, hvor løsesummen skal betales, fordi dette gør det sværere at identificere angriberne.
RansomEXX
RansomEXX (også kendt som Defrat777) er blevet en af de mest udbredte former for ransomware på Linux-enheder de seneste år. Den startede som en Windows-malware, men er i stigende grad blevet brugt til at angribe Linux-servere – især mod den brasilianske regering, Department of Transportation in Texas og Brno University Hospital i Tjekkiet.
Denne type ransomware er kendt som en "storvildtsjæger" – den bruges ofte til at ramme store organisationer i et forsøg på at score store løsesummer. I stedet for at angribe flere slutpunkter fortsætter malwaren direkte til serveren og begrænser adgangen til filer ved deres kilde – hvilket gør Linux-servere til at primært mål for denne type angreb.
RansomEXX leveres typisk via en mail med et fjendtligt Word-dokument. Når det åbnes, downloades der en trojansk hest til brugerens system, som krypterer filer og genererer en 256-bit krypteringsnøgle. Nøglen genkrypteres så hvert sekund.
Erebus
Erebus blev først set i 2016 som en Windows-baseret ransomware. Den blev brugt for første gang mod Linux-systemer i 2017 for et storstilet angreb mod den sydkoreanske webhostingvirksomhed NAYANA. 153 Linux-servere og over 3.400 erhvervswebsteder blev påvirket. Løsesummen på $1 million i Bitcoin satte dengang rekorden for den højeste betaling.
Erebus er afhængig af, at brugeren klikker på skadelige links eller åbner inficerede vedhæftede filer. Den kan også få adgang til skadelig software såsom falske installationsfiler.
Ransomwaren scanner for en lang række filtyper at kryptere, inkl. databaser, arkiver og dokumenter. Den anvendte krypteringsproces er svær at knække, da den anvender en blanding af tre forskellige kryptosystemer (RSA-2048, AES og RC4). Ransomwaren sletter også Shadow Volume Copies af operativsystemet, hvilket gør det endnu sværere at gendanne filer.
KillDisk
KillDisk er en anden ransomware, som startede på Windows, før den blev tilpasset til Linux. Linux-versionen af KillDisk krypterer hver fil med et forskelligt sæt 64-bit krypteringsnøgler. Den forhindrer derefter systemet i at starte op ved at overskrive bootloaderen og i stedet vise brugeren en løsepengenote i fuld skærm, der forlanger betaling i Bitcoin.
Linux-versionen af KillDisk varierer derefter fra Windows: De nøgler, der kræves for at dekryptere dataene, gemmes ikke lokalt eller sendes til en server under et Linux-angreb. Det betyder, at krypteringsværktøjet sandsynligvis blev skrevet til at være destruktivt i stedet for til afpresning. Hvis der ikke findes nogen krypteringsnøgle, vil filerne nok aldrig kunne gendannes, uanset om der betales løsepenge.
Beskyt dig mod Linux-ransomware
Linux-ransomware er en stigende trussel, især for erhvervslivet. Du bør gøre følgende for at beskytte din virksomhed mod ransomware:
- Installér jævnligt opdateringer. Alle servere og slutpunkter bør altid være opdateret. Sikkerhedsrettelser og softwareopdateringer bør altid installeres, så snart de er tilgængelige.
- Cybersikkerhedstræning til medarbejdere. For at minimere menneskefejl er det vigtigt, at alle medarbejdere har en basisviden om cybersikkerhed. Avasts Cybersecurity Quiz vil hjælpe dig med at forstå dine medarbejderes forståelse og hjælpe med at identificere svage punkter, der kan forbedres med undervisning.
- Begræns adgangstilladelser. Brugerkontotilladelser bør iht. politikker holdes på et minimum. Alle har kun adgang til de filer og programmer, de skal bruge for at kunne udføre deres arbejde.
- Sikkerhedskopiér data. Det er afgørende at have sikre sikkerhedskopier af data for at minimere et angrebs potentielle skade.
- Etabler en sikkerhedsstrategi. Mange angreb er afhængige af menneskefejl for at kunne få adgang til et netværk. Denne risiko kan mindskes betragteligt ved at implementere en sikkerhedsstrategi, som inkluderer medarbejderundervisning, implementering af sikkerhedssoftware og implementering af bedste praksisser for stærke adgangskoder, sikre mails og slutpunktssikkerhed.
- Udfør jævnlige inspektioner og sårbarhedsvurderinger. Systemer bør overvåges og nøje evalueres ved fast intervaller. Hændelseslogge bør gennemgås som del af denne proces med at identificere mistænkelig aktivitet.
- Hav en nødplan. På samme måde som et kontor har en nødplan i tilfælde af brand, bør der være etableret en ransomware-strategi for at sikre, at medarbejderne ved, hvad de skal gøre i tilfælde af et angreb. Målet er at minimere skade og sikre en nem genoprettelse.
Få mere at vide i artiklen "Sådan sikrer du din Linux-server".
Avanceret antivirus til Linux-servere
Selvom Linux har noget af den bedste OS-sikkerhed på markedet, er det ikke nok alene til at sikre dine forretningsdata og din server. Beskyt din virksomhed med dedikeret Linux-malware og slutpunktsbeskyttelse.
© 2024 Gen Digital Inc.