Ya sabemos que el ransomware es muy desagradable. Pero ¿cómo
construir tus defensas contra él? Más bien, ¿qué debes proteger ante
todo? A menudo, las estaciones de trabajo de Windows, los servidores de
Active Directory y otros productos de Microsoft son los principales
candidatos, una estrategia que suele estar justificada. Pero debemos
tener en cuenta que las tácticas de los ciberdelincuentes están en
constante evolución y que ya se están desarrollando herramientas maliciosas para servidores Linux y sistemas de virtualización. De hecho, en el 2022, el número total de ataques a sistemas Linux aumentó en aproximadamente un 75 %.
La motivación que hay detrás de estos ataques está muy clara: la
popularidad del código abierto y la virtualización está en aumento, lo
que significa que cada vez hay más servidores que ejecutan Linux o
VMWare ESXi. Estos suelen almacenar una gran cantidad de información
crítica que, si se cifra, puede paralizar al instante las operaciones de
una empresa. Y, dado que la seguridad de los sistemas Windows ha sido
tradicionalmente el centro de atención, el resto de los servidores están
demostrando ser una presa fácil.
Los ataques en 2022 y 2023
- En febrero del 2023, muchos propietarios de servidores VMware ESXi se vieron afectados por el brote de ransomware ESXiArgs.
Aprovechando la vulnerabilidad CVE-2021-21974, los atacantes
deshabilitaron las máquinas virtuales y cifraron los archivos .vmxf,
.vmx, .vmdk, .vmsd y .nvram. - El famoso grupo Clop, conocido por un ataque a gran escala contra los servicios vulnerables de transferencia de archivos Fortra GoAnywhere a través de la CVE-2023-0669,
fue detectado en diciembre del 2022 usando, aunque con limitaciones,
una versión para Linux de su ransomware. Esta se diferencia
significativamente de su equivalente para Windows (carece de algunas
optimizaciones y trucos defensivos), pero se adapta a los permisos y
tipos de usuarios de Linux y se dirige específicamente a las carpetas de bases de datos de Oracle. - Una nueva versión del ransomware BlackBasta
está diseñada especialmente para ataques a hipervisores ESXi. La
estrategia de cifrado utiliza el algoritmo ChaCha20 en el modo de
múltiples subprocesos que involucra múltiples procesadores. Dado que las
granjas ESXi suelen ser multiprocesador, este algoritmo minimiza el
tiempo necesario para cifrar todo el entorno. - Poco antes de su desintegración, el grupo de ciberdelincuentes Conti
también se armó con un ransomware que tenía a ESXi como objetivo. Por
desgracia, dado que gran parte del código de Conti acabó filtrado, sus
desarrollos ahora están en manos de los ciberdelincuentes. - El ransomware BlackCat, escrito en Rust, también puede deshabilitar y
eliminar máquinas virtuales ESXi. En otros aspectos, el código
malicioso difiere ligeramente de la versión de Windows. - El ransomware Luna,
que detectamos en el 2022, era originalmente una multiplataforma, capaz
de ejecutarse en sistemas Windows, Linux y ESXi. Y, por supuesto, el
grupo LockBit difícilmente pudo ignorar esta tendencia y también comenzó a ofrecer versiones para ESXi de su malware a los afiliados. - En cuanto a los ataques más antiguos (aunque, lamentablemente,
efectivos), también estaban las campañas RansomEXX y QNAPCrypt, que
afectaron en gran medida a los servidores Linux.
Las tácticas de ataque contra el servidor
Para penetrar en servidores Linux, generalmente hay que explotar
vulnerabilidades. Los atacantes pueden convertir estas vulnerabilidades
en armas dentro del sistema operativo, los servidores web y otras
aplicaciones básicas, así como en las aplicaciones corporativas, las
bases de datos y los sistemas de virtualización. Como demostró Log4Shell el año pasado,
las vulnerabilidades en los componentes de código abierto requieren una
atención especial. Después de una infracción inicial, muchas cepas del
ransomware utilizan trucos o vulnerabilidades adicionales para elevar
los privilegios y cifrar el sistema.
Medidas de seguridad prioritarias para servidores Linux
Para minimizar las posibilidades de ataque que afecten a los servidores Linux, te recomendamos:
- Reparar las vulnerabilidades de inmediato.
- Minimizar la cantidad de conexiones y puertos abiertos a Internet.
- Implementar herramientas de seguridad especializadas
en servidores para proteger tanto el propio sistema operativo como las
máquinas virtuales y los contenedores alojados en el servidor. Para más
información sobre cómo protegerte en Linux, visita nuestra publicación especializada.
