Check Point: Αύξηση κυβερνοεπιθέσεων σε συστήματα Linux

Σε μια πρόσφατη μελέτη που διεξήγαγε η Check Point Research, μια σε βάθος εξέταση των επιθέσεων ransomware σε συστήματα Linux και Windows ρίχνει φως στις εξελισσόμενες τάσεις των απειλών στον κυβερνοχώρο. Καθώς οι επιθέσεις ransomware σε συστήματα Linux, ιδίως σε συστήματα ESXi, έχουν σημειώσει έξαρση τα τελευταία χρόνια, η CPR εμβαθύνει στις ιδιαιτερότητες αυτών των περιστατικών, κάνοντας συγκρίσεις με τα αντίστοιχα σε Windows.

Παραδοσιακά, οι απειλές ransomware στόχευαν κυρίως περιβάλλοντα Windows. Ωστόσο, το τοπίο εξελίσσεται, με το ransomware που επικεντρώνεται στο Linux να κερδίζει έδαφος. Η μελέτη της CPR αναλύει 12 εξέχουσες οικογένειες ransomware που είτε στοχεύουν άμεσα συστήματα Linux, είτε διαθέτουν δυνατότητες cross-platform, επιτρέποντάς τους να μολύνουν αδιακρίτως τόσο τα Windows, όσο και το Linux.

Η «κυκλοφορία» του πηγαίου κώδικα του Babuk το 2021 έπαιξε καθοριστικό ρόλο στη διάδοση διαφόρων οικογενειών ransomware. Αυτό που κάνει το ransomware που στοχεύει στο Linux να ξεχωρίζει είναι η σχετική απλότητα σε σύγκριση με τα αντίστοιχα των Windows. Πολλές από αυτές τις απειλές που επικεντρώνονται στο Linux βασίζονται σε μεγάλο βαθμό στη βιβλιοθήκη OpenSSL, με τους αλγόριθμους κρυπτογράφησης ChaCha20/RSA και AES/RSA να αναδεικνύονται ως οι πιο συνηθισμένοι αλγόριθμοι κρυπτογράφησης σε όλα τα δείγματα που αναλύθηκαν.

Εξετάζοντας την ιστορική εξέλιξη του ransomware, το πρώτο αναγνωρίσιμο δείγμα χρονολογείται από το 1989 και αφορούσε συστήματα Windows. Μόλις το 2015, με το Linux.Encoder.1, το ransomware που αφορά ειδικά στο Linux απέκτησε απήχηση. Παρά την ωριμότητα του ransomware σε συστήματα Windows, οι δυνατότητες δεν μεταφέρθηκαν άμεσα στο Linux μέχρι τα τελευταία χρόνια, γεγονός που σηματοδοτείται από τη σημαντική αύξηση των επιθέσεων από το 2020 και μετά.

Η μελέτη της CPR αποκαλύπτει μια τάση απλοποίησης μεταξύ των οικογενειών ransomware που στοχεύουν στο Linux. Οι βασικές λειτουργίες συχνά περιορίζονται σε βασικές διαδικασίες κρυπτογράφησης, βασιζόμενες σε μεγάλο βαθμό σε εξωτερικές διαμορφώσεις και σενάρια, καθιστώντας τα ασύλληπτα και δύσκολα ανιχνεύσιμα. Η έρευνα αναδεικνύει επίσης ξεχωριστές στρατηγικές, εστιάζοντας ιδιαίτερα σε συστήματα ESXi, και εντοπίζει ευπάθειες σε εκτεθειμένες υπηρεσίες ως πρωταρχικούς φορείς εισόδου.

Το ransomware σε Linux διαφέρει σημαντικά από τα αντίστοιχα των Windows όσον αφορά στον στόχο και την κατηγορία των θυμάτων. Ενώ τα Windows είναι διαδεδομένα σε προσωπικούς υπολογιστές και σταθμούς εργασίας χρηστών, το Linux κυριαρχεί σε ορισμένες εγκαταστάσεις διακομιστών. Το ransomware Linux εστιάζει κυρίως σε εκτεθειμένους διακομιστές ή σε εκείνους που βρίσκονται εντός του εσωτερικού δικτύου, στους οποίους η πρόσβαση γίνεται με αναστροφή από τις μολύνσεις των Windows. Αυτός ο προσανατολισμός υποδεικνύει μια σαφή τάση – το ransomware Linux είναι στρατηγικά προσαρμοσμένο για μεσαίους και μεγάλους οργανισμούς, σε αντίθεση με τις πιο γενικευμένες απειλές που θέτει το ransomware των Windows. Οι ιδιαίτερες εσωτερικές δομές των δύο συστημάτων επηρεάζουν επίσης τις προσεγγίσεις των επιτιθέμενων στην επιλογή φακέλων και αρχείων για κρυπτογράφηση, με τα δείγματα που προσανατολίζονται στο Linux να αποφεύγουν συχνά κρίσιμους καταλόγους για να αποφευχθεί η καταστροφή του συστήματος. Αυτό υπογραμμίζει τη στοχευμένη και εξελιγμένη φύση του Linux ransomware σε σύγκριση με αυτό σε Windows.

Συγκρίνοντας τις τεχνικές κρυπτογράφησης μεταξύ συστημάτων Windows και Linux, η CPR αποκαλύπτει μια προτίμηση για το OpenSSL στο ransomware Linux, με το AES ως κοινό ακρογωνιαίο λίθο κρυπτογράφησης και το RSA ως την κύρια ασύμμετρη επιλογή. Αυτή η ομοιομορφία μεταξύ διαφορετικών φορέων απειλών υπογραμμίζει το εξελισσόμενο τοπίο των απειλών στον κυβερνοχώρο.

Τεύχος 399