ransomware
Когда речь заходит о шифровальщиках-вымогателях, на ум в первую очередь приходит защита рабочих станций под управлением Windows, а также серверов Active Directory и других разработок Microsoft. Как показывает опыт, чаще всего этот подход можно считать оправданным, но не стоит забывать, что киберкриминал постоянно меняет свои тактики и сейчас все чаще разрабатывает вредоносные инструменты, нацеленные на Linux-серверы и системы виртуализации. Всего за 2022 год число атак на Linux-системы выросло примерно на 75%.
Мотивация атакующих понятна — Open Source и виртуализация используются все шире, поэтому серверов, работающих под Linux или VMWare ESXi, все больше. На них часто сосредоточено много критичной для компаний информации, шифрование которой мгновенно нарушает непрерывность бизнеса. А поскольку защите Windows-систем традиционно уделяется больше внимания, то серверы «не-Windows» оказываются удобной мишенью.
Атаки 2022–2023 годов
В феврале 2023 года многие владельцы серверов с VMware ESXi пострадали от эпидемии вымогателя ESXiArgs. Пользуясь уязвимостью CVE-2021-21974, атакующие отключали виртуальные машины и шифровали файлы .vmxf, .vmx, .vmdk, .vmsd, и .nvram.
Печально известная банда Clop, отметившаяся массированной атакой на уязвимые cервисы передачи файлов Fortra GoAnyWhere MFT через CVE-2023-0669, была замечена в декабре 2022 за ограниченным использованием Linux-версии своего шифровальщика. Она существенно отличается от Windows-версии: с одной стороны, в ней отсутствуют некоторые возможности оптимизации и трюки, препятствующие анализу; с другой — она адаптирована к системе прав и пользователей Linux и специально целится в папки баз данных Oracle.
Новая версия шифровальщика BlackBasta разработана специально для атак на гипервизоры ESXi. В схеме шифрования используется алгоритм ChaCha20 в режиме многопоточности с использованием нескольких процессоров. Поскольку фермы ESXi обычно многопроцессорные, такой алгоритм позволяет зашифровать всю среду максимально быстро.
Незадолго до своего распада вооружилась ESXi-шифровальщиком и группировка Conti. Учитывая, что многие данные Conti были слиты, их наработки, к сожалению, теперь доступны более широкому кругу злоумышленников.
Шифровальщик BlackCat, написанный на Rust, также способен отключать и удалять виртуальные машины ESXi. В остальном вредоносный код мало отличается от своей Windows-версии.
Обнаруженный нами в 2022 году шифровальщик Luna изначально является кроссплатформенным и способен работать на системах Windows, Linux и ESXi. Разумеется, не могли пройти мимо тенденции и в группировке LockBit — они также начали предлагать своей «партнерской сети» версии для ESXi.
Кроме того, среди более старых (но, увы, эффективных) атак можно вспомнить атаки RansomEXX и QNAPcrypt, масштабно поразившие именно Linux-серверы.
Тактика атак на серверы
Тактика проникновения на Linux-серверы, как правило, основана на эксплуатации уязвимостей. Атакующие могут вооружиться как уязвимостями в ОС и базовых приложениях вроде веб-сервера, так и в бизнес-приложениях, базах данных и системах виртуализации. Как показывает печальный прошлогодний опыт Log4Shell, особого внимания требуют уязвимости в компонентах Open Source. В дальнейшем многие образцы ransomware используют дополнительные трюки или уязвимости, чтобы повысить привилегии до достаточных для шифрования системы.
Меры защиты, приоритетные для Linux-серверов
Для того чтобы минимизировать шансы злоумышленников при атаке на сервер под Linux, мы советуем:
- оперативно патчить уязвимости;
- минимизировать количество портов и соединений, открытых для доступа атакующих через Интернет;
- использовать на серверах специализированные средства защиты, которые не только защищают саму ОС, но и работают в содержащихся на сервере виртуальных машинах и контейнерах. Более детально о защите Linux — в отдельном посте.
Советы