Ransomware tem como alvo usuários de sistema operacional Linux

Durante muito tempo acreditou-se que o Linux era imune a ataques hackers, especialmente devido à maneira como o sistema operacional lida com as permissões de usuário. As especificações da arquitetura do sistema Linux não processam arquivos executáveis ​​sem permissão explícita, pois não é um processo separado e independente.  

O Linux tem poucos usuários quando comparado ao Windows. O Windows tem uma grande fatia de mercado e por isso é um alvo maior para golpistas. Todavia, Linux não é realmente mais seguro que Windows como acreditou-se por muito tempo. 

Nenhum sistema operacional é mais seguro do que outro, a diferença está no número de ataques e no tamanho dos ataques. Como podemos esperar, o volume de malware desenvolvido para um sistema operacional é proporcional à sua popularidade. 

Houve um tempo em que o sistema operacional baseado em Unix era usado principalmente por um grupo demográfico específico e mais orientado para o universo da computação e da tecnologia, mas a facilidade de customização e a variedade de opções para quem entende como usá-lo, somado ao fato de ser um modelo de licenciamento de software livre e de código aberto tem popularizado o uso do sistema operacional e consequentemente houve um aumento de ataques direcionados a sistemas baseados em Linux para lançar campanhas de ransomware e outros malwares. 

Embora os ataques cibernéticos direcionados a ambientes Linux sejam relativamente menos sofisticados quando comparados com ataques equivalentes direcionados a sistemas Windows, eles vêm aumentando em volume e complexidade. 

Quando falamos em vírus comum, existe uma vantagem do Linux sobre o Windows que é o fato dos arquivos relacionados ao sistema serem de propriedade de um “superusuário”. Se infectados, os vírus podem ser facilmente removidos, pois só podem afetar a conta do usuário em que foram instalados e não afetam a conta root. Mas, quando se trata de ransomware, eles conseguem explorar vulnerabilidades de escalonamento de privilégio local, que podem permitir que ele acesse e criptografe dados em todo o sistema operacional ou em toda a rede, mesmo que o Linux isole as contas de usuários. 

O Linux tem sido muito lento para corrigir esses “bugs” de escalonamento de privilégios e tem havido alguns de tempos em tempos.  As famílias de ransomware que são vistas com frequência em ataques a sistemas Linux incluem Revil, DarkSide e Defray777.  

Além da tática conhecida de criptografar os arquivos e deixar notas de resgate, uma tendência importante observada em ataques a sistemas Linux é o aumento da agressividade e brutalidade dos grupos de ransomware. Por exemplo, os ataques que têm se tornado mais comuns visam a dupla extorsão, com cibercriminosos ameaçando lançar ataques DdoS às empresas, assediar funcionários ou publicar dados se o resgate não for pago. 

O sucesso e a adoção mais frequentes da tática de dupla extorsão levanta uma questão interessante: um grupo de ransomware precisa criptografar dados para ter sucesso? Em muitos casos, a resposta é não! Desde que dados confidenciais ou sensíveis estejam sendo roubados e pressão suficiente possa ser aplicada para convencer a vítima de que mantê-los em segredo será menos caro ou prejudicial do que tornar os dados públicos. 

A maioria das vulnerabilidades são percebidas em sistemas que executam versões desatualizadas de distribuições Linux, por isso é importante que se mantenha os dispositivos atualizados sempre que os patches estiverem disponíveis. Essas atualizações não apenas adicionam novos recursos, mas também ajudam a manter a rede segura. 

Além disso, a proteção eficaz contra novas técnicas de ataque requer soluções mais inteligentes que são alimentadas com inteligência de ameaças em tempo real e são capazes de detectar padrões de ameaças, comparar grandes quantidades de dados para descobrir anomalias e tomar contramedidas coordenadas automaticamente, a exemplo do Fortinet Security Fabric que fornece gerenciamento centralizado, automação e soluções integradas que funcionam em conjunto. 

A Tecnews.NET vem trabalhando com softwares e serviços de segurança de TI líderes do setor para empresas e consumidores em todo o mundo, como Fortinet Security Fabric da Fortinet. Desde então, nos tornamos referência entre as empresas de segurança de TI brasileiras. A Tecnews.NET protege e monitora 24 horas por dia, 7 dias por semana e em tempo real a rede dos clientes, para manter os usuários e os negócios seguros e funcionando sem interrupções.