2020 é o ano da pandemia de malware do Linux?
Sua reputação de segurança significa que o Linux é frequentemente considerado menos vulnerável aos tipos de ameaças que regularmente assolam os sistemas Microsoft Windows. Grande parte dessa segurança percebida vem do número relativamente baixo de sistemas Linux, mas os cibercriminosos estão começando a ver valor em escolher qualidade em vez de quantidade ?
O cenário de ameaças do Linux está mudando
Pesquisadores de segurança em empresas como Kaspersky e Blackberry, junto com agências federais como FBI e NSA, estão alertando sobre os autores de malware aumentando seu foco no Linux.
O sistema operacional agora é reconhecido como um portal de dados valiosos, como segredos comerciais, propriedade intelectual e informações pessoais. Os servidores Linux também podem ser usados como um ponto de preparação para a infecção de redes mais amplas cheias de dispositivos Windows, macOS e Android.
Mesmo que não seja o sistema operacional em execução em seu desktop ou laptop, é provável que seus dados sejam expostos ao Linux mais cedo ou mais tarde. Seu armazenamento em nuvem, VPN e provedores de e-mail, bem como seu empregador, seguradora de saúde, serviços governamentais ou universidade, quase certamente estão executando o Linux como parte de suas redes, e é provável que você possua ou possuirá uma Internet com Linux Dispositivo Things (IoT) agora ou no futuro.
Várias ameaças foram descobertas nos últimos 12 meses. Alguns são conhecidos malware do Windows portados para o Linux, enquanto outros permaneceram em servidores sem serem detectados por quase uma década, mostrando o quanto as equipes de segurança subestimaram o risco.
Muitos administradores de sistemas podem presumir que sua organização não é importante o suficiente para ser um alvo. No entanto, mesmo que sua rede não seja um grande prêmio, seus fornecedores ou clientes podem ser mais tentadores, e obter acesso ao seu sistema, por meio de um ataque de phishing, por exemplo, pode ser o primeiro passo para se infiltrar no deles. Portanto, vale a pena avaliar como você protege seu sistema .
Malware Linux descoberto em 2020
Aqui está o nosso resumo das ameaças que foram identificadas no ano passado.
Trojan RansomEXX
Os pesquisadores da Kaspersky revelaram em novembro que esse Trojan foi portado para o Linux como um executável. A vítima fica com os arquivos criptografados com uma cifra AES de 256 bits e instruções sobre como entrar em contato com os autores do malware para recuperar seus dados.
A versão do Windows atacou alguns alvos significativos em 2020, incluindo a Konica Minolta, o Departamento de Transporte do Texas e o sistema judiciário brasileiro.
RansomEXX é feito sob medida para cada vítima, com o nome da organização incluído na extensão do arquivo criptografado e no endereço de e-mail na nota de resgate.
Gitpaste-12
Gitpaste-12 é um novo worm que infecta servidores x86 e dispositivos IoT executando Linux. Seu nome deve-se ao uso do GitHub e do Pastebin para baixar o código e aos seus 12 métodos de ataque.
O worm pode desabilitar AppArmor, SELinux, firewalls e outras defesas, bem como instalar um minerador de criptomoeda.
IPStorm
Conhecida no Windows desde maio de 2019, uma nova versão desse botnet capaz de atacar o Linux foi descoberta em setembro. Ele desarma o assassino de falta de memória do Linux para se manter em execução e mata os processos de segurança que podem impedi-lo de funcionar.
A edição Linux vem com recursos extras, como usar SSH para encontrar alvos, explorar serviços de jogos Steam e rastrear sites pornográficos para falsificar cliques em anúncios.
Ele também tem um sabor para infectar dispositivos Android conectados via Android Debug Bridge (ADB).
Drovorub
O FBI e a NSA destacaram esse rootkit em um aviso em agosto. Ele pode iludir administradores e software antivírus, executar comandos root e permitir que hackers carreguem e baixem arquivos. De acordo com as duas agências, Drovorub é obra do Fancy Bear, um grupo de hackers que trabalha para o governo russo.
A infecção é difícil de detectar, mas atualizar para pelo menos o kernel 3.7 e bloquear módulos de kernel não confiáveis deve ajudar a evitá-la.
Lúcifer
A mineração de criptografia maliciosa Lucifer e o bot distribuído de negação de serviço apareceu pela primeira vez no Windows em junho e no Linux em agosto. A encarnação Linux de Lucifer permite ataques DDoS baseados em HTTP, bem como sobre TCP, UCP e ICMP.
Penquin_x64
Esta nova cepa da família de malware Turla Penquin foi revelada por pesquisadores em maio. É um backdoor que permite que invasores interceptem o tráfego de rede e executem comandos sem adquirir root.
A Kaspersky descobriu o exploit em execução em dezenas de servidores nos EUA e na Europa em julho.
Doki
Doki é uma ferramenta de backdoor que visa principalmente servidores Docker mal configurados para instalar mineradores de criptografia.
Embora o malware geralmente entre em contato com endereços IP ou URLs predeterminados para receber instruções, os criadores do Doki configuraram um sistema dinâmico que usa a API Dogecoin crypto blockchain. Isso torna difícil derrubar a infraestrutura de comando, pois os operadores de malware podem alterar o servidor de controle com apenas uma transação Dogecoin.
Para evitar o Doki, você deve garantir que a interface de gerenciamento do Docker esteja configurada corretamente.
TrickBot
O TrickBot é um Trojan bancário, usado para ataques de ransomware e roubo de identidade, que também mudou do Windows para o Linux. Anchor_DNS, uma das ferramentas usadas pelo grupo por trás do TrickBot, apareceu em uma variação do Linux em julho.
Anchor_Linux atua como um backdoor e normalmente é espalhado por meio de arquivos zip. O malware configura uma tarefa cron e contata um servidor de controle por meio de consultas DNS.
Relacionado: Como detectar um e-mail de phishing
Magnata
O cavalo de Tróia Tycoon geralmente é espalhado como um Java Runtime Environment comprometido dentro de um arquivo zip. Os pesquisadores descobriram em junho, rodando nos sistemas Windows e Linux de pequenas e médias empresas, bem como em instituições educacionais. Ele criptografa arquivos e exige pagamentos de resgate.
Cloud Snooper
Este rootkit sequestra o Netfilter para ocultar comandos e roubo de dados entre o tráfego normal da web para contornar firewalls.
Identificado pela primeira vez na nuvem Amazon Web Services em fevereiro, o sistema pode ser usado para controlar malware em qualquer servidor atrás de qualquer firewall.
PowerGhost
Também em fevereiro, pesquisadores da Trend Micro descobriram que o PowerGhost deu o salto do Windows para o Linux. Este é um minerador de criptomoedas sem arquivo que pode reduzir a velocidade do seu sistema e degradar o hardware devido ao aumento do uso e desgaste.
A versão Linux pode desinstalar ou eliminar produtos antimalware e permanecer ativa usando uma tarefa cron. Ele pode instalar outro malware, obter acesso root e se espalhar por redes usando SSH.
FritzFrog
Desde que esse botnet ponto a ponto (P2P) foi identificado pela primeira vez em janeiro de 2020, mais 20 versões foram encontradas. As vítimas incluem governos, universidades, centros médicos e bancos.
Fritzfrog é um malware sem arquivo, um tipo de ameaça que vive na RAM em vez de no seu disco rígido e explora vulnerabilidades em softwares existentes para fazer seu trabalho. Em vez de servidores, ele usa P2P para enviar comunicações SSH criptografadas para coordenar ataques em diferentes máquinas, atualizar-se e garantir que o trabalho seja distribuído uniformemente pela rede.
Embora não tenha arquivo, o Fritzfrog cria um backdoor usando uma chave SSH pública para permitir o acesso no futuro. As informações de login das máquinas comprometidas são salvas na rede.
Senhas fortes e autenticação de chave pública oferecem proteção contra esse ataque. Alterar sua porta SSH ou desligar o acesso SSH se não estiver usando também é uma boa ideia.
FinSpy
FinFisher vende FinSpy, associado à espionagem de jornalistas e ativistas, como uma solução de vigilância de prateleira para governos. Visto anteriormente no Windows e no Android, a Amnistia Internacional descobriu uma versão do Linux do malware em novembro de 2019.
FinSpy permite a captura de tráfego, acesso a dados privados e a gravação de vídeo e áudio de dispositivos infectados.
Chegou ao conhecimento público em 2011, quando os manifestantes encontraram um contrato para a compra do FinSpy nos escritórios do brutal serviço de segurança egípcio após a derrubada do presidente Mubarak.
É hora de os usuários do Linux começarem a levar a segurança a sério?
Embora os usuários do Linux possam não ser tão vulneráveis a tantas ameaças à segurança quanto os usuários do Windows, não há dúvida de que o valor e o volume dos dados mantidos pelos sistemas Linux estão tornando a plataforma mais atraente para os cibercriminosos.
Se o FBI e a NSA estiverem preocupados, os empresários em nome individual ou pequenas empresas que executam o Linux devem começar a prestar mais atenção à segurança agora, se quiserem evitar se tornarem danos colaterais durante ataques futuros a organizações maiores.
Aqui estão nossas dicas para se proteger da lista crescente de malware do Linux:
- Não execute binários ou scripts de fontes desconhecidas.
- Instale software de segurança , como programas antivírus e detectores de rootkit.
- Tenha cuidado ao instalar programas usando comandos como curl. Não execute o comando até que você entenda completamente o que ele fará, comece sua pesquisa de linha de comando aqui .
- Aprenda a configurar seu firewall corretamente. Ele deve registrar todas as atividades da rede, bloquear portas não utilizadas e, geralmente, manter sua exposição à rede ao mínimo necessário.
- Atualize seu sistema regularmente; definir atualizações de segurança para serem instaladas automaticamente.
- Certifique-se de que suas atualizações estão sendo enviadas por conexões criptografadas.
- Habilite um sistema de autenticação baseado em chave para SSH e senha para proteger as chaves.
- Use a autenticação de dois fatores (2FA) e mantenha as chaves em dispositivos externos, como um Yubikey.
- Verifique os registros em busca de evidências de ataques.
