Ransomware na Linuksa: jak chronić swoją firmę
Zabezpieczenie firmy przed ransomware to poważne wyzwanie, zwłaszcza jeśli w użyciu jest kilka różnych systemów operacyjnych, każdy o innym poziomie zabezpieczeń i ryzyka. Gdy pracownicy używają urządzeń z Windowsem, MacOS, Linuksem i systemami na urządzenia mobilne, wdrożenie spójnych zabezpieczeń w całej firmie może być trudne.
W tym artykule zajmiemy się tematem ransomware na Linuksa: Co to jest, jaki jest poziom bezpieczeństwa tego systemu, jakie są różne rodzaje ransomware kierowane na urządzenia z Linuksem i jak możesz się chronić przed typowymi dla nich zagrożeniami.
Testuj platformę Avast Business Hub ZA DARMO przez 30 dni
Korzystaj z zabezpieczeń klasy biznesowej bez względu na rozmiar swojej firmy. Pobierz oprogramowanie Avast Business Hub i testuj je przez 30 dni bez ryzyka.
Co to jest ransomware na Linuksa?
Mówiąc ogólnie, ransomware na Linuksa to rodzaj złośliwego oprogramowania, które może atakować systemy oparte na Linuksie (w tym na dystrybucjach takich jak Ubuntu i Debian). Taki atak prowadzi do infiltracji urządzenia lub sieci oraz znalezienia ważnych dokumentów i zaszyfrowania ich. Często pierwszy atak zostaje zauważony w momencie otrzymania wiadomości z żądaniem płatności warunkującej zwrot zaszyfrowanych plików. Dla osoby prywatnej jest to z pewnością przerażające, jednak dla firmy może oznaczać potencjalnie nieodwracalne straty operacyjne i utratę zaufania klientów.
Czy Linux jest bezpieczny?
Choć Linux ma opinię systemu o silnych zabezpieczeniach, dzięki której jest często wybierany w przypadku serwerów firmowych, tak naprawdę żaden system operacyjny nie jest całkowicie zabezpieczony przed atakiem z użyciem złośliwego oprogramowania. Złośliwe oprogramowanie jest tak skonstruowane, że przyczyną naruszenia zabezpieczeń często jest błąd człowieka — podanie swoich danych, używanie słabych haseł czy niezainstalowanie dostępnych aktualizacji.
Jedną z zalet Linuksa jest to, że aktualizacje zabezpieczeń są nie tylko regularnie udostępniane, ale też ogólnie mają opinię bardzo skutecznych, dzięki czemu użytkownicy korzystają z najlepszych dostępnych zabezpieczeń systemu operacyjnego.
Inną zaletą jest to, że Linux automatycznie przypisuje uprawnienia ograniczonego dostępu — jeśli haker uzyska dostęp do jego konta użytkownika, jest mniejsza szansa, że przejmie zabezpieczone dane lub uprawnienia administratora.
Systemy operacyjne Windows i Mac są używane częściej niż Linux, ale osoby o niecnych zamiarach wiedzą, że zyskuje on coraz większą popularność wśród użytkowników serwerów firmowych. Włamując się do systemu Linux, hakerzy prawdopodobnie spróbują się dostać do serwera, a nie pojedynczego punktu końcowego. Z tego względu firmy nie powinny być zbyt pewne siebie — aby zmniejszyć ryzyko ataku, konieczne jest używanie oprogramowania antywirusowego.
Ransomware na Linuksie: Co się dzieje?
Ransomware na Linuksa to coraz większy problem dla firm, które używają serwerów z Linuksem. Zrozumienie tego procesu bardzo ułatwia dostrzeganie nietypowej aktywności i innych znaków ostrzegawczych. Strategie ataków różnią się w zależności od sprawcy, jednak zwykle atak z użyciem ransomware wcelowany w urządzenie z Linuksem obejmuje opisane niżej etapy.
1. Wykorzystanie luk w zabezpieczeniach
Aby dostać się do sieci i rozprzestrzenić po niej, ransomware na Linuksa stara się znaleźć luki w zabezpieczeniach. Może to być po prostu proces systemowy bez poprawki czy drobna niedoskonałość usługi. Luka może w ogóle nie wpływać na codzienne użytkowanie i pozostać niezauważona.
Niektóre formy ransomware na Linuksa wykorzystują skanery, aby znaleźć luki w zabezpieczeniach i przeprowadzić atak SQL injection, który może skutkować przejęciem uprawnień administratora. Instalowanie aktualizacji i poprawek ma kluczowe znaczenie dla eliminowania znanych luk w zabezpieczeniach.
2. Konfiguracja
Gdy ransomware jest już na urządzeniu, wysyła żądanie pobrania złośliwych plików wykonywalnych (zwykle robaków, wirusów lub trojanów), które następnie mogą być umieszczone w katalogach lokalnych sieci. W tym momencie zaczynają one działać. Może to oznaczać przyznanie sobie określonych uprawnień dostępu i możliwości uruchamiania przy rozruchu lub w trybie odzyskiwania.
W niektórych przypadkach ransomware wykorzystuje eskalację przywilejów, aby uzyskać dostęp do funkcji używanych zwykle tylko przez administratorów wysokiego poziomu. Dzięki temu obejściu może wyświetlać i edytować wszystkie dane.
3. Skanowanie
Ransomware skanuje system, szukając udostępnionych folderów i plików z konkretnymi rozszerzeniami. Są to wstępnie zdefiniowane cele, do których najczęściej zaliczają się pliki dokumentów (.PDF, .DOC) i oprogramowania powiązane z chmurą lub miejscem na dane w sieci.
Możliwe, że złośliwe oprogramowanie nadal nie zostało jeszcze zauważone przez firmę, choć dostało się już na jej serwer i wytypowało pliki, za które przestępca zażąda okupu.
4. Szyfrowanie
Na tym etapie ataku na Linuksa ransomware tworzy zaszyfrowane wersje wytypowanych plików i usuwa oryginały. Zależnie od rodzaju zastosowanego szyfrowania może to być działanie nieodwracalne.
Wiele metod szyfrowania jest znanych jako techniki asymetryczne, ponieważ wykorzystują one parę kluczy do zaszyfrowania i odszyfrowania danych. Zwykle jeden klucz jest publiczny i widoczny, a drugi prywatny, dostępny tylko dla jego twórcy. Ransomware kontaktuje się z serwerem cyberprzestępcy, aby pobrać klucz publiczny i rozpocząć proces szyfrowania.
Jeśli w tym momencie urządzenia nie są połączone z siecią, sprawca ataku zaczeka, aż użytkownicy będą znów online, i zaszyfruje także ich pliki.
Typowe rodzaje szyfrowania to między innymi:
- AES — z angielskiego Advanced Encryption Standard (nazwa oryginalna: Rijndael) to standard utworzony przez Narodowy Instytut Norm i Techniki USA. Klucze mogą mieć 128, 192 lub 256 bitów (im więcej, tym bardziej złożone szyfrowanie).
- RSA — to system klucza publicznego opracowany w 1977 roku. Nazwa to pierwsze litery nazwisk jego twórców: Rivest-Shamir-Adleman. Zwykle klucze te mają od 1024 do 2048 bitów — są więc dość trudne do złamania.
5. Żądanie okupu
Ostatni etap to wyłudzenie pieniędzy poprzez wysłanie wiadomości z żądaniem okupu. Może to być komunikat wyświetlany przy rozruchu albo dokument umieszczony na pulpicie lub w tym samym miejscu co zaszyfrowane pliki. Wiadomość będzie też prawdopodobnie zawierać instrukcję zapłaty okupu. Niektórzy cyberprzestępcy podają również termin zapłaty lub dołączają licznik, który może nawet zwiększać kwotę okupu wraz z upływem czasu lub grozić trwałym usunięciem plików w przypadku braku zapłaty.
Na tym etapie zadanie ransomware zostało wykonane.
Typy ransomware na Linuksa
Tycoon
Oprogramowanie Tycoon pojawiło się w 2019 roku. Zwykle jest wykorzystywane w atakach na małe i średnie firmy oraz uczelnie wyższe. Może zainfekować zarówno urządzenia z Linuksem, jak i z Windowsem.
Sprawca dostaje się do systemu za pomocą archiwum ZIP, które zawiera złośliwy plik obrazu Java. Przy użyciu niezabezpieczonego protokołu dostępu zdalnego obiekt Java zostaje wykonany, co powoduje zaszyfrowanie systemu i pozostawienie notatki z żądaniem okupu.
Zwykle sprawca żąda zapłaty w bitcoinach w ciągu 60 godzin. Czasem kwota wzrasta z każdym mijającym dniem.
QNAPCrypt
Tego typu atak koncentruje się na urządzeniach pamięci połączonych z siecią i działających na Linuksie. Zwykle do dystrybucji wykorzystywane są fałszywe aktualizacje i zainfekowane pliki, w tym archiwa ZIP.
Punkt dostępu QNAPCrypt to niedoskonały proces uwierzytelniania serwera proxy SOCKS5 (to alternatywa sieci VPN, która chroni pakiety danych podczas transferu) o niskim poziomie wykrywalności. Po zainfekowaniu systemu złośliwe oprogramowanie wysyła na serwer hakera żądanie dostępu do portfela bitcoinów i publicznego klucza RSA, po czym szyfruje dane ofiary.
Gdy proces szyfrowania dobiegnie końca, oprogramowanie zostawia plik .txt z żądaniem okupu. Każda ofiara otrzymuje unikalny portfel bitcoinów, na który ma wpłacić okup, co utrudnia wykrycie sprawcy.
RansomEXX
RansomEXX (znane również jako Defrat777) to jedna z najpopularniejszych w ostatnich latach form ransomware na urządzenia z Linuksem. Na początku było to złośliwe oprogramowanie na Windowsa, jednak coraz częściej wykorzystuje się je także przy atakach na serwery z Linuksem — do najgłośniejszych należą ataki wymierzone w brazylijski rząd, Departament Transportu w Teksasie i czeski szpital uniwersytecki w Brnie.
Tego typu ransomware jest wykorzystywane przez przestępców biorących na cele np. duże organizacje i rządy z zamiarem uzyskania dużych kwot okupu. Zamiast atakować wiele punktów końcowych, złośliwe oprogramowanie uderza prosto w serwer i ogranicza dostęp do plików u źródła — dlatego głównym celem tego typu ataków są serwery z Linuksem.
RansomEXX zwykle jest dostarczane w wiadomości e-mail zawierającej złośliwy dokument programu Word. Po jego otwarciu na system użytkownika pobierany jest trojan, który szyfruje pliki i generuje 256-bitowy klucz. Następnie klucz jest co sekundę przeszyfrowywany.
Erebus
Oprogramowanie Erebus pojawiło się w 2016 roku jako ransomware na Windowsa. Po raz pierwszy zostało użyte do ataku urządzeń z Linuksem w roku 2017 — był to głośny atak na południowokoreańską firmę NAYANA hostującą strony internetowe. Zainfekowano wówczas 153 serwery z Linuksem i ponad 3400 strony firmowe. Okup w wysokości 1 miliona dolarów w bitcoinach stanowił najwyższą zapłaconą do tamtej pory kwotę.
Erebus wymaga kliknięcia złośliwego linku lub otwarcia zainfekowanego załącznika do wiadomości e-mail. Może się też dostać do systemu, używając złośliwego oprogramowania, na przykład fałszywego pliku instalacyjnego.
Ransomware skanuje system pod kątem wielu różnych typów plików do zaszyfrowania, między innymi baz danych, archiwów i dokumentów. Szyfr jest trudny do złamania, ponieważ w procesie szyfrowania wykorzystywane jest połączenie trzech różnych kryptosystemów (RSA-2048, AES i RC4). Ransomware usuwa też tworzone w tle kopie woluminów systemu operacyjnego (Volume Shadow Copies), co dodatkowo utrudnia odzyskanie plików.
KillDisk
KillDisk to kolejne ransomware, które na początku było wykorzystywane do ataków na urządzenia z Windowsem, a z czasem zaadaptowano je także pod Linuksa. Wersja KillDisk na Linuksa szyfruje każdy plik innym zestawem 64-bitowych kluczy. Następnie uniemożliwia systemowi uruchomienie, nadpisując program rozruchowy i wyświetlając zamiast tego pełnoekranowe żądanie zapłaty okupu w bitcoinach.
Wersja KillDisk na Linuksa różni się od tej na Windowsa: Podczas ataku na Linuksa klucze wymagane do odszyfrowania danych nie są przechowywane lokalnie ani wysyłane na serwer, co oznacza, że narzędzie szyfrujące zostało najprawdopodobniej stworzone po to, aby wyrządzić szkody, a nie uzyskać okup. Skoro klucz szyfrowania nie istnieje, plików raczej nie da się odzyskać niezależnie od tego, czy okup zostanie zapłacony czy nie.
Ochrona przed ransomware na Linuksa
Ransomware na Linuksa to coraz większe zagrożenie, zwłaszcza dla użytkowników biznesowych. Oto działania, które warto podjęć, aby zabezpieczyć swoją firmę przed atakami z użyciem ransomware:
- Regularne instalowanie poprawek. Wszystkie serwery i punkty końcowe powinny być na bieżąco aktualizowane. Poprawki zabezpieczeń i oprogramowania należy zawsze instalować, gdy tylko są dostępne.
- Szkolenie pracowników w dziedzinie cyberbezpieczeństwa. Aby zminimalizować ryzyko błędu ludzkiego, trzeba zapewnić pracownikom szkolenie z podstaw bezpieczeństwa w sieci. Przygotowany przez Avast quiz na temat cyberbezpieczeństwa pomoże Ci ocenić wiedzę personelu w tym temacie i zidentyfikować słabe punkty, nad którymi trzeba będzie popracować podczas szkolenia.
- Ograniczenie uprawnień do dostępu. Co do zasady uprawnienia kont użytkowników powinny być jak najmniejsze. Każdy powinien mieć dostęp wyłącznie do tych plików i aplikacji, które są mu niezbędne w pracy.
- Tworzenie kopii zapasowych danych. Przechowywanie kopii zapasowych danych w bezpiecznym miejscu ma kluczowe znaczenie dla zminimalizowania potencjalnych strat wynikających z ataku.
- Przyjęcie strategii w zakresie bezpieczeństwa. Wiele ataków wymaga błędu człowieka, który umożliwi dostęp do sieci. Ryzyko to można znacznie zmniejszyć, wdrażając strategię w zakresie bezpieczeństwa, szkoląc personel, instalując oprogramowanie zabezpieczające oraz stosując sprawdzone metody dotyczące silnych haseł, bezpiecznych e-maili i zabezpieczeń punktów końcowych.
- Regularne kontrole i oceny luk w zabezpieczeniach. Systemy należy regularnie monitorować i starannie oceniać. W ramach tego procesu należy przeglądać dzienniki systemowe pod kątem podejrzanej aktywności.
- Opracowanie planu reagowania. Tak samo jak plan bezpieczeństwa pożarowego, firma powinna mieć też strategię dotyczącą ransomware, aby pracownicy wiedzieli co robić w razie ataku. Celem takiej strategii jest zminimalizowanie strat i umożliwienie sprawnego odzyskania danych.
Więcej informacji znajdziesz w artykule „Jak zabezpieczyć serwer z Linuksem”.
Zaawansowany antywirus na serwery z Linuksem
Choć Linux ma jedne z najlepszych dostępnych zabezpieczeń systemu operacyjnego, nie wystarczą one, aby zapewnić pełne bezpieczeństwo danych i serwerów. Chroń swoją firmę, używając zabezpieczeń opracowanych specjalnie z myślą o złośliwym oprogramowaniu na Linuksa i ochronie punktów końcowych.
© 2024 Gen Digital Inc.