ransomware en Linux

Check Point Research público un estudio comparativo sobre ataques ransomware en Linux y Windows y en este se revela una tendencia importante, el aumento de ataques a sistemas Linux.

En su reciente estudio, CPR revela una marcada tendencia hacia la simplificación dentro de las familias de ransomware dirigidas a Linux, con funciones esenciales reducidas a procesos de cifrado básicos que permiten que estas amenazas sean imperceptibles y difíciles de detectar.

Ante el aumento de los ataques de ransomware en Linux en los últimos años (particularmente en sistemas ESXi), el estudio establece comparaciones de las técnicas de cifrado entre Windows y Linux y se revela una preferencia por los algoritmos ChaCha20/RSA y AES/RSA en el ransomware en Linux.

Hoy en día el leer o escuchar una noticia sobre algún ataque de ransomware en Linux no es tan común, ya que históricamente, las amenazas de ransomware se han centrado principalmente en entornos Windows. Y no es porque Linux sea 100% seguro (por que en realidad no lo es y ningún sistema lo sera), sino que Windows al ser un sistema «más comercial» y que domina el mercado de sistemas de escritorio, los hackers suelen tenerlo como principal objetivo.

Sin embargo, a medida que evoluciona el panorama, el ransomware en Linux está ganando terreno. Esto es lo que nos dice CPR en su estudio, en el cual se menciona que analizo 12 familias de ransomware que se dirigen directamente a sistemas Linux o tienen capacidades multiplataformas que les permiten infectar tanto Windows como Linux.

Una de las particularidades del ransomware en Linux es su relativa simplicidad en comparación con sus homólogos de Windows. Muchas de estas amenazas en Linux están centradas en OpenSSL.

Imagen 1: familias de ransomware para Linux.

Imagen 2: familias de ransomware para Windows

En las imágenes compartidas por CPR, podemos observar la evolución histórica del ransomware, la primera muestra identificable data de 1989 y afectaba a Windows. No fue hasta 2015, con Linux.Encoder.1, que el ransomware en Linux ganó fuerza.

El análisis de CPR revela una clara inclinación hacia la simplificación de las familias de ransomware en Linux. Este fenómeno se caracteriza por la reducción de funciones esenciales a procesos de cifrado básicos, apoyándose en gran medida en configuraciones y scripts externos. Esta estrategia no solo dificulta su detección, sino que también implica un considerable gasto de tiempo en su identificación. El estudio resalta estrategias particulares, especialmente en relación con los sistemas ESXi, señalando que las vulnerabilidades en servicios expuestos constituyen los principales vectores de ataque.

El ransomware dirigido a Linux muestra notables diferencias en términos de objetivos y víctimas en comparación con sus contrapartes de Windows. Mientras que las computadoras personales y estaciones de trabajo de los usuarios Windows es el que predomina, Linux prevalece en numerosas implementaciones de servidores. En este contexto, el ransomware en Linux se concentra mayormente en servidores de acceso público o en aquellos de la red interna, a menudo aprovecha vulnerabilidades generadas por infecciones en sistemas Windows.

Esta situación refleja una tendencia clara: el ransomware en Linux está diseñado de manera muy estratégica para medianas y grandes empresas, a diferencia de las amenazas más generalizadas que plantea el ransomware en Windows. Las estructuras internas específicas de ambos sistemas también influyen en los enfoques de los atacantes a la hora de elegir qué carpetas y archivos cifrar. Las muestras de Linux a menudo omiten directorios confidenciales para evitar daños en el sistema. Esto confirma la naturaleza compleja y específica del ransomware en Linux en comparación con sus equivalentes en Windows.

Los objetivos principales del estudio de CPR era comprender mejor las principales motivaciones para desarrollar ransomware dirigido a Linux en lugar de Windows, que siempre ha sido el objetivo principal hasta ahora. También tuvo como objetivo identificar las principales similitudes y diferencias entre los ransomware desarrollados por estas familias y compararlos con el ransomware desarrollado para sistemas Microsoft.

La principal y más destacable motivación es sin duda el particular interés por los sistemas de virtualización ESXi. De hecho, al atacar estos sistemas, los atacantes pueden tener un impacto significativo en múltiples servicios y máquinas (todos virtualizados usando esta tecnología) al centrarse solo en este servidor ESXi en lugar de intentar pasar a varias computadoras y servidores diferentes que ejecutan Windows.

Probablemente esta sea la razón por la que la gran mayoría de las familias de ransomware dirigidas a Linux, a pesar de tener muy pocas capacidades fuera del cifrado en sí, tienden a ejecutar comandos específicos destinados a interactuar con el malware.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.