Ya sabemos que el ransomware es muy desagradable. Pero ¿cómo construir tus defensas contra él? Más bien, ¿qué debes proteger ante todo? A menudo, las estaciones de trabajo de Windows, los servidores de Active Directory y otros productos de Microsoft son los principales candidatos, una estrategia que suele estar justificada. Pero debemos tener en cuenta que las tácticas de los ciberdelincuentes están en constante evolución y que ya se están desarrollando herramientas maliciosas para servidores Linux y sistemas de virtualización. De hecho, en el 2022, el número total de ataques a sistemas Linux aumentó en aproximadamente un 75 %.
La motivación que hay detrás de estos ataques está muy clara: la popularidad del código abierto y la virtualización está en aumento, lo que significa que cada vez hay más servidores que ejecutan Linux o VMWare ESXi. Estos pueden almacenar una gran cantidad de información crítica que, si se cifra, puede paralizar al instante las operaciones de una empresa. Y, dado que la seguridad de los sistemas Windows ha sido tradicionalmente el centro de atención, el resto de los servidores están demostrando ser una presa fácil.
Los ataques en 2022 y 2023
- En febrero del 2023, muchos propietarios de servidores VMware ESXi se vieron afectados por el brote de ransomware ESXiArgs. Aprovechando la vulnerabilidad CVE-2021-21974, los atacantes deshabilitaron las máquinas virtuales y cifraron los archivos .vmxf, .vmx, .vmdk, .vmsd y .nvram.
- El famoso grupo Clop, conocido por un ataque a gran escala contra los servicios vulnerables de transferencia de archivos Fortra GoAnywhere a través de la CVE-2023-0669, fue detectado en diciembre del 2022 usando, aunque con limitaciones, una versión para Linux de su ransomware. Esta se diferencia significativamente de su equivalente para Windows (carece de algunas optimizaciones y trucos defensivos), pero se adapta a los permisos y tipos de usuarios de Linux y se dirige específicamente a las carpetas de bases de datos de Oracle.
- Una nueva versión del ransomware BlackBasta está diseñada especialmente para ataques a hipervisores ESXi. La estrategia de cifrado utiliza el algoritmo ChaCha20 en el modo de múltiples subprocesos que involucra múltiples procesadores. Dado que las granjas ESXi suelen ser multiprocesador, este algoritmo minimiza el tiempo necesario para cifrar todo el entorno.
- Poco antes de su desintegración, el grupo de ciberdelincuentes Conti también se armó con un ransomware que tenía a ESXi como objetivo. Por desgracia, dado que gran parte del código de Conti acabó filtrado, sus desarrollos ahora están en manos de los ciberdelincuentes.
- El ransomware BlackCat, escrito en Rust, también puede deshabilitar y eliminar máquinas virtuales ESXi. En otros aspectos, el código malicioso difiere ligeramente de la versión de Windows.
- El ransomware Luna, que detectamos en el 2022, era originalmente una multiplataforma, capaz de ejecutarse en sistemas Windows, Linux y ESXi. Y, por supuesto, el grupo LockBit difícilmente pudo ignorar esta tendencia y también comenzó a ofrecer versiones para ESXi de su malware a los afiliados.
- En cuanto a los ataques más antiguos (aunque, lamentablemente, efectivos), también estaban las campañas RansomEXX y QNAPCrypt, que afectaron en gran medida a los servidores Linux.
Las tácticas de ataque contra el servidor
Para penetrar en servidores Linux, generalmente hay que explotar vulnerabilidades. Los atacantes pueden convertir estas vulnerabilidades en armas dentro del sistema operativo, los servidores web y otras aplicaciones básicas, así como en las aplicaciones corporativas, las bases de datos y los sistemas de virtualización. Como demostró Log4Shell el año pasado, las vulnerabilidades en los componentes de código abierto requieren una atención especial. Después de una infracción inicial, muchas cepas del ransomware utilizan trucos o vulnerabilidades adicionales para elevar los privilegios y cifrar el sistema.
Medidas de seguridad prioritarias para servidores Linux
Para minimizar las posibilidades de ataque que afecten a los servidores Linux, te recomendamos:
- Reparar las vulnerabilidades de inmediato.
- Minimizar la cantidad de conexiones y puertos abiertos a Internet.
- Implementar herramientas de seguridad especializadas en servidores para proteger tanto el propio sistema operativo como las máquinas virtuales y los contenedores alojados en el servidor. Para más información sobre cómo protegerte en Linux, visita nuestra publicación especializada.