Il 2020 è l’anno della pandemia di malware su Linux?

La sua reputazione di sicurezza significa che Linux è spesso considerato meno vulnerabile ai tipi di minacce che regolarmente affliggono i sistemi Microsoft Windows. Gran parte della sicurezza percepita deriva dal numero relativamente basso di sistemi Linux, ma i criminali informatici stanno iniziando a vedere il valore nella scelta della qualità rispetto alla quantità ?

Il panorama delle minacce Linux sta cambiando

I ricercatori di sicurezza di aziende come Kaspersky e Blackberry, insieme ad agenzie federali come l' FBI e la NSA, avvertono che gli autori di malware stanno aumentando la loro attenzione su Linux.

Il sistema operativo è ora riconosciuto come un gateway per dati preziosi come segreti commerciali, proprietà intellettuale e informazioni sul personale. I server Linux possono anche essere utilizzati come punto di staging per l'infezione di reti più ampie piene di dispositivi Windows, macOS e Android.

Anche se non è il sistema operativo in esecuzione sul tuo desktop o laptop, è probabile che i tuoi dati vengano esposti a Linux prima o poi. Il tuo cloud storage, VPN e provider di posta elettronica, così come il tuo datore di lavoro, assicurazione sanitaria, servizi governativi o università, quasi certamente eseguono Linux come parte delle loro reti, ed è probabile che tu possieda o possiederai un Internet Of basato su Linux Dispositivo Things (IoT) ora o in futuro.

Molteplici minacce sono state scoperte negli ultimi 12 mesi. Alcuni sono noti malware di Windows portati su Linux, mentre altri sono rimasti inosservati sui server per quasi un decennio, dimostrando quanto i team di sicurezza abbiano sottovalutato il rischio.

Molti amministratori di sistema potrebbero presumere che la loro organizzazione non sia abbastanza importante per essere un obiettivo. Tuttavia, anche se la tua rete non è un grande premio, i tuoi fornitori o clienti potrebbero rivelarsi più allettanti e ottenere l'accesso al tuo sistema, ad esempio tramite un attacco di phishing, potrebbe essere un primo passo per infiltrarsi nel loro. Quindi vale la pena valutare come proteggi il tuo sistema .

Malware Linux scoperto nel 2020

Ecco il nostro riepilogo delle minacce che sono state identificate nell'ultimo anno.

RansomEXX Trojan

I ricercatori di Kaspersky hanno rivelato a novembre che questo Trojan era stato portato su Linux come eseguibile. Alla vittima vengono lasciati file crittografati con un codice AES a 256 bit e istruzioni su come contattare gli autori del malware per recuperare i propri dati.

La versione Windows ha attaccato alcuni obiettivi significativi nel 2020, tra cui Konica Minolta, il Dipartimento dei trasporti del Texas e il sistema giudiziario brasiliano.

RansomEXX è progettato specificamente per ogni vittima, con il nome dell'organizzazione incluso sia nell'estensione del file crittografato che nell'indirizzo e-mail sulla richiesta di riscatto.

Gitpaste-12

Gitpaste-12 è un nuovo worm che infetta i server x86 e i dispositivi IoT che eseguono Linux. Prende il nome dal suo utilizzo di GitHub e Pastebin per scaricare il codice e per i suoi 12 metodi di attacco.

Il worm può disabilitare AppArmor, SELinux, firewall e altre difese, nonché installare un minatore di criptovaluta.

IPStorm

Nota su Windows da maggio 2019, a settembre è stata scoperta una nuova versione di questa botnet in grado di attaccare Linux. Disarma il killer di memoria insufficiente di Linux per mantenerlo in esecuzione e interrompe i processi di sicurezza che potrebbero impedirne il funzionamento.

L'edizione Linux include funzionalità extra come l'utilizzo di SSH per trovare obiettivi, sfruttare i servizi di gioco di Steam e scansionare siti Web pornografici per falsificare i clic sugli annunci pubblicitari.

Ha anche un gusto per infettare i dispositivi Android collegati tramite Android Debug Bridge (ADB).

Drovorub

L'FBI e la NSA hanno evidenziato questo rootkit in un avvertimento ad agosto. Può eludere gli amministratori e il software antivirus, eseguire comandi di root e consentire agli hacker di caricare e scaricare file. Secondo le due agenzie, Drovorub è opera di Fancy Bear, un gruppo di hacker che lavora per il governo russo.

L'infezione è difficile da rilevare, ma l'aggiornamento almeno al kernel 3.7 e il blocco dei moduli del kernel non attendibili dovrebbero aiutare a evitarlo.

Lucifero

Il bot di crittografia dannoso Lucifer e il bot di negazione del servizio distribuito sono apparsi per la prima volta su Windows a giugno e su Linux ad agosto. L'incarnazione Linux di Lucifer consente attacchi DDoS basati su HTTP nonché su TCP, UCP e ICMP.

Penquin_x64

Questo nuovo ceppo della famiglia di malware Turla Penquin è stato rivelato dai ricercatori a maggio. È una backdoor che consente agli aggressori di intercettare il traffico di rete ed eseguire comandi senza acquisire root.

Kaspersky ha scoperto che l'exploit era in esecuzione su dozzine di server negli Stati Uniti e in Europa a luglio.

Doki

Doki è uno strumento backdoor che si rivolge principalmente a server Docker mal configurati per installare minatori crittografici.

Mentre il malware di solito contatta indirizzi IP o URL predeterminati per ricevere istruzioni, i creatori di Doki hanno impostato un sistema dinamico che utilizza l'API di blockchain crittografica Dogecoin. Ciò rende difficile disattivare l'infrastruttura di comando poiché gli operatori di malware possono modificare il server di controllo con una sola transazione Dogecoin.

Per evitare Doki, assicurati che la tua interfaccia di gestione Docker sia configurata correttamente.

TrickBot

TrickBot è un Trojan bancario, utilizzato per attacchi ransomware e furti di identità, che ha anche fatto il passaggio da Windows a Linux. Anchor_DNS, uno degli strumenti utilizzati dal gruppo dietro TrickBot, è apparso in una variazione di Linux a luglio.

Anchor_Linux funge da backdoor e di solito viene distribuito tramite file zip. Il malware imposta un'attività cron e contatta un server di controllo tramite query DNS.

Correlati: Come individuare un'e-mail di phishing

Magnate

Il Tycoon Trojan viene solitamente diffuso come Java Runtime Environment compromesso all'interno di un archivio zip. I ricercatori lo hanno scoperto a giugno in esecuzione su entrambi i sistemi Windows e Linux di piccole e medie imprese e istituti scolastici. Crittografa i file e richiede il pagamento del riscatto.

Cloud Snooper

Questo rootkit dirotta Netfilter per nascondere i comandi e il furto di dati nel normale traffico web per aggirare i firewall.

Identificato per la prima volta sul cloud di Amazon Web Services a febbraio, il sistema può essere utilizzato per controllare il malware su qualsiasi server dietro qualsiasi firewall.

PowerGhost

Sempre a febbraio, i ricercatori di Trend Micro hanno scoperto che PowerGhost era passato da Windows a Linux. Questo è un minatore di criptovaluta senza file che può rallentare il tuo sistema e degradare l'hardware a causa di una maggiore usura.

La versione Linux può disinstallare o uccidere i prodotti anti-malware e rimane attiva utilizzando un'attività cron. Può installare altri malware, ottenere l'accesso come root e diffondersi attraverso le reti utilizzando SSH.

FritzFrog

Da quando questa botnet peer-to-peer (P2P) è stata identificata per la prima volta nel gennaio 2020, sono state trovate altre 20 versioni. Le vittime includono governi, università, centri medici e banche.

Fritzfrog è un malware senza file, un tipo di minaccia che risiede nella RAM piuttosto che sul disco rigido e sfrutta le vulnerabilità del software esistente per svolgere il proprio lavoro. Invece dei server, utilizza il P2P per inviare comunicazioni SSH crittografate per coordinare gli attacchi su macchine diverse, aggiornarsi e garantire che il lavoro sia distribuito in modo uniforme su tutta la rete.

Sebbene sia senza file, Fritzfrog crea una backdoor utilizzando una chiave SSH pubblica per consentire l'accesso in futuro. Le informazioni di accesso per le macchine compromesse vengono quindi salvate sulla rete.

Password complesse e autenticazione con chiave pubblica offrono protezione contro questo attacco. Anche cambiare la porta SSH o disattivare l'accesso SSH se non la stai utilizzando è una buona idea.

FinSpy

FinFisher vende FinSpy, associato allo spionaggio di giornalisti e attivisti, come una soluzione di sorveglianza standard per i governi. Visto in precedenza su Windows e Android, Amnesty International ha scoperto una versione Linux del malware nel novembre 2019.

FinSpy consente l'intercettazione del traffico, l'accesso a dati privati ​​e la registrazione di video e audio da dispositivi infetti.

È venuto a conoscenza del pubblico nel 2011 quando i manifestanti hanno trovato un contratto per l'acquisto di FinSpy negli uffici del brutale servizio di sicurezza egiziano dopo il rovesciamento del presidente Mubarak.

È ora che gli utenti Linux inizino a prendere sul serio la sicurezza?

Sebbene gli utenti Linux potrebbero non essere vulnerabili a tante minacce alla sicurezza come gli utenti Windows, non c'è dubbio che il valore e il volume dei dati detenuti dai sistemi Linux stiano rendendo la piattaforma più attraente per i criminali informatici.

Se l'FBI e la NSA sono preoccupati, allora i commercianti individuali o le piccole imprese che eseguono Linux dovrebbero iniziare a prestare maggiore attenzione alla sicurezza ora se vogliono evitare di diventare danni collaterali durante futuri attacchi a organizzazioni più grandi.

Ecco i nostri suggerimenti per proteggerti dall'elenco crescente di malware Linux:

  • Non eseguire binari o script da fonti sconosciute.
  • Installa software di sicurezza come programmi antivirus e rilevatori di rootkit.
  • Fai attenzione quando installi programmi usando comandi come curl. Non eseguire il comando fino a quando non avrai compreso appieno cosa sta per fare, inizia qui la tua ricerca dalla riga di comando .
  • Scopri come configurare correttamente il tuo firewall. Dovrebbe registrare tutte le attività di rete, bloccare le porte inutilizzate e in genere mantenere l'esposizione alla rete al minimo necessario.
  • Aggiorna regolarmente il tuo sistema; impostare gli aggiornamenti di sicurezza da installare automaticamente.
  • Assicurati che i tuoi aggiornamenti vengano inviati tramite connessioni crittografate.
  • Abilita un sistema di autenticazione basato su chiave per SSH e password per proteggere le chiavi.
  • Usa l'autenticazione a due fattori (2FA) e mantieni le chiavi su dispositivi esterni come Yubikey.
  • Controlla i registri per le prove di attacchi.