TM_399

12 23|11|2023 #399 Σε μια πρόσφατη μελέτη που διεξήγαγε η Check Point Research , μια σε βάθος εξέταση των επιθέσεων ransomware σε συστήματα Linux και Windows ρίχνει φως στις εξελισσόμενες τάσεις των απει- λών στον κυβερνοχώρο. Καθώς οι επιθέ- σεις ransomware σε συστήματα Linux, ιδίως σε συστήματα ESXi, έχουν σημει- ώσει έξαρση τα τελευταία χρόνια, η CPR εμβαθύνει στις ιδιαιτερότητες αυτών των περιστατικών, κάνοντας συγκρίσεις με τα αντίστοιχα σε Windows. Παραδοσιακά, οι απειλές ransomware στόχευαν κυρίως περιβάλλοντα Windows. Ωστόσο, το τοπίο εξελίσσεται, με το ransomware που επικεντρώνεται στο Linux να κερδίζει έδαφος. Η μελέτη της CPR αναλύει 12 εξέχουσες οικογέ- νειες ransomware που είτε στοχεύουν άμεσα συστήματα Linux, είτε διαθέτουν δυνατότητες cross-platform, επιτρέπο- ντάς τους να μολύνουν αδιακρίτως τόσο τα Windows, όσο και το Linux. Η «κυκλοφορία» του πηγαίου κώδικα του Babuk το 2021 έπαιξε καθοριστικό ρόλο στη διάδοση διαφόρων οικογε- νειών ransomware. Αυτό που κάνει το ransomware που στοχεύει στο Linux να ξεχωρίζει είναι η σχετική απλότη- τα σε σύγκριση με τα αντίστοιχα των Windows. Πολλές από αυτές τις απειλές που επικεντρώνονται στο Linux βασίζο- νται σε μεγάλο βαθμό στη βιβλιοθήκη OpenSSL, με τους αλγόριθμους κρυπτο- γράφησης ChaCha20/RSA και AES/RSA να αναδεικνύονται ως οι πιο συνηθισμέ- νοι αλγόριθμοι κρυπτογράφησης σε όλα τα δείγματα που αναλύθηκαν. Εξετάζοντας την ιστορική εξέλιξη του ransomware, το πρώτο αναγνωρίσι- μο δείγμα χρονολογείται από το 1989 και αφορούσε συστήματα Windows. Μόλις το 2015, με το Linux.Encoder.1, το ransomware που αφορά ειδικά στο Linux απέκτησε απήχηση. Παρά την ωριμότητα του ransomware σε συστή- ματα Windows, οι δυνατότητες δεν με- ταφέρθηκαν άμεσα στο Linux μέχρι τα τελευταία χρόνια, γεγονός που σηματο- δοτείται από τη σημαντική αύξηση των επιθέσεων από το 2020 και μετά. Η μελέτη της CPR αποκαλύπτει μια τάση απλοποίησης μεταξύ των οικογενειών ransomware που στοχεύουν στο Linux. Οι βασικές λειτουργίες συχνά περιορίζο- νται σε βασικές διαδικασίες κρυπτογρά- φησης, βασιζόμενες σε μεγάλο βαθμό σε εξωτερικές διαμορφώσεις και σενάρια, καθιστώντας τα ασύλληπτα και δύσκο- λα ανιχνεύσιμα. Η έρευνα αναδεικνύει επίσης ξεχωριστές στρατηγικές, εστιά- ζοντας ιδιαίτερα σε συστήματα ESXi, και εντοπίζει ευπάθειες σε εκτεθειμένες υπη- ρεσίες ως πρωταρχικούς φορείς εισόδου. Το ransomware σε Linux διαφέρει σημα- ντικά από τα αντίστοιχα των Windows όσον αφορά στον στόχο και την κατη- γορία των θυμάτων. Ενώ τα Windows είναι διαδεδομένα σε προσωπικούς υπολογιστές και σταθμούς εργασίας χρηστών, το Linux κυριαρχεί σε ορι- σμένες εγκαταστάσεις διακομιστών. Το ransomware Linux εστιάζει κυρίως σε εκτεθειμένους διακομιστές ή σε εκεί- νους που βρίσκονται εντός του εσωτερι- κού δικτύου, στους οποίους η πρόσβαση γίνεται με αναστροφή από τις μολύνσεις των Windows. Αυτός ο προσανατολι- σμός υποδεικνύει μια σαφή τάση – το ransomware Linux είναι στρατηγικά προσαρμοσμένο για μεσαίους και με- γάλους οργανισμούς, σε αντίθεση με τις πιο γενικευμένες απειλές που θέτει το ransomware των Windows. Οι ιδιαίτερες εσωτερικές δομές των δύο συστημάτων επηρεάζουν επίσης τις προσεγγίσεις των επιτιθέμενων στην επιλογή φακέλων και αρχείων για κρυπτογράφηση, με τα δείγ- ματα που προσανατολίζονται στο Linux να αποφεύγουν συχνά κρίσιμους κατα- λόγους για να αποφευχθεί η καταστρο- φή του συστήματος. Αυτό υπογραμμίζει τη στοχευμένη και εξελιγμένη φύση του Linux ransomware σε σύγκριση με αυτό σε Windows. Συγκρίνοντας τις τεχνικές κρυπτογρά- φησης μεταξύ συστημάτων Windows και Linux, η CPR αποκαλύπτει μια προ- τίμηση για το OpenSSL στο ransomware Linux, με το AES ως κοινό ακρογωνιαίο λίθο κρυπτογράφησης και το RSA ως την κύρια ασύμμετρη επιλογή. Αυτή η ομοι- ομορφία μεταξύ διαφορετικών φορέων απειλών υπογραμμίζει το εξελισσόμενο τοπίο των απειλών στον κυβερνοχώρο. Check Point Αύξηση κυβερνοεπιθέσεων σε συστήματα Linux