Malware en Linux, una tendencia al alza imparable
En torno a Linux ha existido el mito de que es invencible frente al malware, sin embargo, la realidad es bien distinta, sobre todo en los últimos años, en los que la cantidad de malware que afecta al sistema Open Source ha aumentado de manera exponencial.
Según un informe de Crowdstrike del que se han hecho eco en Bleeping Computer, la cantidad de malware que afecta a Linux ha aumentando en un 35% en 2021 comparado con los datos obtenidos el año anterior. No es el crecimiento más grande que hemos publicado a través de los medios de TPNET, ya que AV-Test indicó en un informe de 2017 que el malware contra Linux había aumentado en un 300% en 2016.
De entre todo el malware sobresalen tres familias, Mirai, Mozi y XorDDoS, que juntas han representado el 22% de todos los ataques de malware dirigidos contra Linux en 2021. El objetivo principal sigue siendo los dispositivos IoT, así que los usuarios de escritorio no tienen por qué alarmarse, al menos de momento.
Mirai es todo un veterano entre los malware dirigidos contra Linux. Habiendo sido descubierto en el año 2016, es un potente troyano que, al menos en su forma original, fue creado con el fin de comprometer dispositivos IoT para sumarlos a una botnet orientada a lanzas ataques DDoS. De hecho, fue lo empleado para el ataque DDoS llevado a cabo contra las DNS de Dyn, una acción con la que se consiguió tumbar importantes sitios web como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud.
Que el código fuente de Mirai esté disponible ha permitido la creación de numerosas bifurcaciones, variantes y evoluciones del malware, las cuales por lo general implementan protocolos de comunicación de mando y control y se dedican a realizar ataques de fuerza bruta contra dispositivos con credenciales débiles. Comparado con el año anterior, en 2021 han sobresalido las variantes Sora, IZIH9 y Rekai, de las cuales el número de muestras ha aumentado un 33%, 39% y 83% respectivamente.
Cambiando de familia, Mozi es una botnet de P2P que se apoya en el sistema búsqueda de Tablas de Hash Distribuidas (DHT) para ocultar las comunicaciones sospechosas y evitar que sean detectadas por las soluciones encargadas de monitorizar la red. Según X-Force, la unidad de ciberseguridad de IBM, fue el responsable de alrededor del 90% del tráfico de red malicioso de dispositivos IoT entre octubre de 2019 y junio de 2020. Con el paso del tiempo ha ido evolucionando para añadir más vulnerabilidades y así expandir su radio de acción.
Y por último tenemos a XorDDoS, un troyano capaz de afectar a compilaciones de Linux para diversas arquitecturas, entre ellas ARM y x86, y emplea cifrado XOR para las comunicaciones de mando y control. Aplica fuerza bruta (probar contraseñas una a una hasta dar con la correcta) a través de SSH y utiliza el puerto 2375 para lograr acceso como root sin contraseña. La distribución de XorDDoS se ha extendido en 2021 en parte gracias a un actor malicioso de origen chino llamado Winnti, que lo implementaba con otras botnets derivadas.
Como vemos, el malware contra Linux es una tendencia al alza que apunta a mantenerse en los próximos años, pero aparentemente centrado en el Internet de las Cosas y en menor medida los servidores. Sin embargo, y a pesar de no arrastrar decisiones cuestionables implementadas en Windows, esto no debería de ser un incentivo para que los usuarios de escritorio bajen la guardia, más viendo que muchos de ellos ven a Linux como un sistema operativo invencible que ofrece seguridad por parte de magia.