Você sabe que ransomware é uma ameaça, mas como fortalecer suas defesas? Em outras palavras – o que deve ser protegido em primeiro lugar? Frequentemente, as estações de trabalho Windows, os servidores Active Directory e os outros produtos da Microsoft são os primeiros candidatos. E essa abordagem geralmente é justificada. Mas devemos ter em mente que as táticas cibercriminosas estão em constante evolução e ferramentas maliciosas estão sendo desenvolvidas para servidores Linux e sistemas de virtualização. Em 2022, o número total de ataques a sistemas Linux aumentou cerca de 75%.
A motivação por trás desses ataques é clara: o código aberto e da virtualização estão cada vez mais populares, o que significa que há cada vez mais servidores usando Linux ou VMWare ESXi. Eles geralmente armazenam muitas informações críticas que, se criptografadas, podem prejudicar instantaneamente as operações de uma empresa. E como a segurança dos sistemas Windows tem sido tradicionalmente o foco de atenção, os servidores não-Windows estão provando ser alvos fáceis.
Ataques em 2022-2023
- Em fevereiro de 2023, muitos proprietários de servidores VMware ESXi foram atingidos pelo surto de ransomware ESXiArgs. Explorando a vulnerabilidade CVE-2021-21974, os invasores desativaram máquinas virtuais e criptografaram arquivos .vmxf, .vmx, .vmdk, .vmsd e .nvram.
- O infame grupo Clop, conhecido pelo ataque em larga escala direcionado aos serviços de transferência de arquivos Fortra GoAnywhere devido à vulnerabilidade CVE-2023-0669, foi detectado em dezembro de 2022 usando (embora de forma limitada) uma versão Linux de seu ransomware. Ele difere significativamente de sua versão do Windows (faltam algumas otimizações e técnicas defensivas), mas é adaptado para permissões e tipos de usuários do Linux e visa especificamente pastas de banco de dados Oracle.
- Uma nova versão do ransomware BlackBasta foi projetada especialmente para ataques a hipervisores ESXi. O esquema de criptografia usa o algoritmo ChaCha20 no modo multithread com a utilização de vários processadores. Como as fazendas de servidores ESXi são tipicamente multiprocessadores, esse algoritmo minimiza o tempo necessário para criptografar todo o ambiente.
- Pouco antes de sua separação, o grupo de hackers Conti também se armou com um ransomware que tem como alvo o ESXi. Infelizmente, como grande parte do código de Conti vazou, suas criações estão disponíveis para uma ampla gama de cibercriminosos.
- O ransomware BlackCat, escrito em Rust, também pode desabilitar e excluir máquinas virtuais ESXi. Em outros aspectos, o código malicioso difere pouco da versão do Windows.
- O ransomware Luna, que detectamos em 2022, era multiplataforma, capaz de rodar em sistemas Windows, Linux e ESXi. E, claro, o grupo LockBit dificilmente ignoraria a tendência: eles também começaram a oferecer versões ESXi do malware para seus associados.
- Quanto aos ataques mais antigos (mas, infelizmente, eficazes), também houve as campanhas RansomEXX e QNAPCrypt, que atingiram os servidores Linux em grande escala.
Táticas para atacar os servidores
O acesso aos servidores Linux geralmente se baseia na exploração de vulnerabilidades. Os invasores podem armar vulnerabilidades no sistema operacional, servidores da web e outros aplicativos básicos, bem como em aplicativos de negócios, bancos de dados e sistemas de virtualização. Conforme demonstrado no ano passado pela Log4Shell, vulnerabilidades em componentes de código aberto requerem atenção especial. Após uma violação inicial, muitos tipos de ransomware usam truques ou vulnerabilidades adicionais para elevar privilégios e criptografar o sistema.
Proteções prioritárias para servidores Linux
Para minimizar as chances de ataques que afetam os servidores Linux, recomendamos:
- Correção imediata de vulnerabilidades
- Minimização do número de portas e conexões abertas à internet
- Implementação de ferramentas de segurança especializadas nos servidores, para proteger o próprio sistema operacional, bem como máquinas virtuais e contêineres hospedados no servidor. Leia mais sobre a proteção do Linux neste post dedicado ao assunto.