Iniziano i porting di ransomware su Linux

Anche se non vedremo Linux in ogni casa a breve, lato server ed enterprise va per la maggiore… ed anche i malintenzionati se ne sono accorti.

Kaspersky ha di recente dichiarato oggi di aver scoperto una versione Linux del ransomware RansomEXX, definendola come “la prima volta” in cui viene effettuato il porting di un ransomware nato per Windows.

Il ransomware è stato utilizzato in attacchi contro grandi realtà: il Dipartimento dei trasporti del Texas, Konica Minolta e, più recentemente, contro l’infrastruttura del sistema giudiziario brasiliano.

RansomEXX è ciò che i ricercatori di sicurezza chiamano un “big-game hunter” ovvero un tipo di ransomware usato per attaccare i “pesci grossi”, se così possiamo dire. Le grandi compagnie non si possono permettere di rimanere offline per giorni in attesa che tutto venga ripristinato dunque, facendo due conti, considerando il danno economico che avrebbero rimanendo fermi, diventa più conveniente pagare quanto richiesto.

Solitamente, questi gruppi cyber-criminali operano violando reti, acquisiscono gli accessi necessari e propagano il ransomware sul maggiore numero di macchine possibili, spesso workstation, cercando di bloccare quanto il più possibile le attività.

Di recente la cosa sta andando a cambiare. Attaccare per prima delle workstation non è particolarmente redditizio, anche perché sono più facilmente ripristinabili e non necessariamente bloccanti; ben poche aziende sceglievano di pagare.

Adesso il trend sembrerebbe essere: subito dritti al server. Sono quelle le macchine critiche da attaccare e, come dicevamo prima, se parliamo di “pesci grossi” ed infrastrutture complesse, ci sono buone probabilità che a tenere in piedi tutto ci siano dei server Linux.

Una versione Linux di un ransomware ha perfettamente senso. Purtroppo.

RansomEXX, sotto questo punto di vista, potrebbe addirittura fare da apripista per porting di altro malware.

Ma allora Linux è davvero destinato a diventare come Windows?

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.

8 risposte a “Iniziano i porting di ransomware su Linux”

  1. Avatar JustATiredMan
    JustATiredMan

    eee si… mi sa che è finito lo stato di grazia in cui ha vissuto linux per 20 e passa anni.
    Però sarebbe interessante capire il vettore di attacco, dato che difficilmente si scaricano email o allegati direttamente dal server.
    Immagino useranno qualche vulnerabilità di qualche servizio, oppure tenteranno di infettare i repository ufficiali delle distribuzioni in modo da installare il malware al momento di un update.

  2. Avatar laldo
    laldo

    Dall’alto della mia ignoranza, chiedo e mi chiedo: non dipenderà dalla “contaminazione” di linux con tecnologie provenienti da quel “certo soggetto” che prima era esclusivamente dedito al software proprietario ed anzi considerava un cancro linux e l’open source, per esempio mono ovvero dotnet framework per windows, o dall’introduzione del tanto discusso systemd che, secondo i timori di qualcuno, potrebbe avere aperto vie d’accesso alle aree protette di linux prima ben chiuse da systemv ed altri init?

  3. Avatar Rickyx
    Rickyx

    Inoltre si citano sempre i backup: giusto, ma un buon backup, per una ditta di piccole/medie dimensioni è difficile.

    Non è difficile il “backup” inteso come copia dati ***, è difficile il buon backup letterale, cioè “di nuovo su“.

    Capire come sono entrati, se è un problema della rete, del bios, della versione di qualche software…. e fare in modo da non ripristinare il sistema con lo stesso buco da cui sono entrati.
    Resettare la macchina. Sovente sarebbe utile aggiornare il sistema ma è necessario verificare se il backup è compatibile con il nuovo, ri-configurare le macchine desktop (es. ri-autenticarsi sul nuovo dominio, ri-collegare i vari software di amministrazione al nuovo db, ecc.)…
    Non tutte le ditte se lo possono permettere!

    *** senza contare che i dati criptati potrebbero essere finiti anche sul backup; non sempre ci si accorge in tempo utile del problema. E questo succede anche alle ditte che hanno internamente un dipartimento IT dedicato… figuriamoci al piccolo ufficio…

  4. Avatar JustATiredMan
    JustATiredMan

    Diciamo che a questo mondo, a parte la morte e le tasse, niente è sicuro, e a maggior ragione in IT.
    Che poi in genere l’opensource possa essere migliore perchè più occhi vedono il codice (poi ci sarebbe da discutere della capacità di questi occhi, ma il discorso sarebbe troppo lungo) posso anche concederlo, ma questo non mette al riparo dalla possibilità che un buco ci possa sempre essere.
    Poi certamente avere un servizio come systemd, che accentra tutta una serie di caratteristiche che prima erano di diversi servizi, certo può non aituare, ma nello stesso tempo, nemmeno prima si poteva essere sicuri al 100% che tutti i servizi fossero comunque sicuri a loro volta.

  5. Avatar Mauro Miatello
    Mauro Miatello

    nemmeno le tasse sono così sicure 😛

  6. Avatar Еlena
    Еlena

    Qui alcuni dettagli tecnici, al solito pare un “banale” allegato malevolo

  7. Avatar JustATiredMan
    JustATiredMan

    bho… da quello che leggo mi pare un virus per windows, non per linux… forse ho letto troppo velocemente ?

  8. Avatar Еlena
    Еlena

    Si, l’articolo era quello dell’originale per Windows, di giugno circa, qui invece un po’ di analisi su Linux: 64-bit ELF executable, the Trojan implements its cryptographic scheme using functions from the open-source library mbedtls

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *