Investigação da Check Point Research explora aumento dos ataques de ransomware em sistemas Linux, estabelecendo comparações com os seus homólogos no Windows
· Cenário em evolução: A Check Point Research (CPR) revela um estudo abrangente que explora o aumento dos ataques de ransomware em sistemas Linux, estabelecendo comparações com os seus homólogos Windows.
· Tendência de Simplificação: A análise da CPR revela uma tendência considerável para a simplificação entre as famílias de ransomware direcionadas para o Linux. As principais funcionalidades foram reduzidas a processos básicos de encriptação, tornando estas ameaças evasivas e difíceis de detetar.
· Informações sobre Encriptação: Um exame comparativo das técnicas de encriptação entre o Windows e o Linux expõe uma preferência pelos algoritmos ChaCha20/RSA e AES/RSA no ransomware para Linux.
Num estudo recente realizado pela Check Point Research (CPR), equipa de investigação da Check Point Software Technologies, fornecedor líder em soluções de cibersegurança para empresas e governos a nível mundial, foi feita uma análise aprofundada dos ataques de ransomware em sistemas Linux e Windows, revelando as tendências em evolução das ciberameaças. Como os ataques de ransomware em sistemas Linux, particularmente em sistemas ESXi, registaram um aumento nos últimos anos, a CPR investigou os pormenores destes incidentes, estabelecendo comparações com os seus homólogos do Windows.
Historicamente, as ameaças de ransomware têm visado predominantemente ambientes Windows. No entanto, o cenário está a evoluir, com o ransomware focado no Linux a ganhar destaque. O estudo da CPR analisa 12 famílias de ransomware importantes que visam diretamente os sistemas Linux ou possuem capacidades multiplataforma, permitindo-lhes infetar indiscriminadamente o Windows e o Linux.
O lançamento do código-fonte do Babuk em 2021 desempenhou um papel fundamental na proliferação de várias famílias de ransomware. O que distingue o ransomware que visa o Linux é a sua relativa simplicidade em comparação com os seus homólogos do Windows. Muitas dessas ameaças focadas no Linux dependem fortemente da biblioteca OpenSSL, com ChaCha20/RSA e AES/RSA emergindo como os algoritmos de criptografia mais comuns nas amostras analisadas.
Examinando a evolução histórica do ransomware, a primeira amostra identificável remonta a 1989, que afetou os sistemas Windows. Só em 2015, com o Linux.Encoder.1, é que o ransomware específico para Linux ganhou força. Apesar da maturidade do ransomware nos sistemas Windows, as capacidades não foram diretamente transferidas para o Linux até aos últimos anos, marcados por um aumento significativo dos ataques desde 2020.
Figura 1 – Famílias de Ransomware Linux
Figura 2 – Famílias de Ransomware Windows
O estudo da CPR revela uma tendência de simplificação entre as famílias de ransomware direcionadas para o Linux. As principais funcionalidades reduzem-se frequentemente a processos básicos de encriptação, dependendo fortemente de configurações e scripts externos, o que os torna esquivos e difíceis de detetar. A investigação também destaca estratégias distintas, com especial incidência nos sistemas ESXi, e identifica vulnerabilidades nos serviços expostos como principais vetores de entrada.
Ransomware para Linux é estrategicamente concebido para organizações de média e grande dimensão
O ransomware para Linux diverge significativamente dos seus homólogos para Windows em termos de alvo e tipologia de vítimas. Enquanto o Windows é predominante nos computadores pessoais e nas estações de trabalho dos utilizadores, o Linux domina certas implementações de servidores. O ransomware para Linux concentra-se principalmente nos servidores expostos ou nos que estão dentro da rede interna acedidos através de infeções do Windows. Esta orientação indica uma tendência clara: o ransomware para Linux é estrategicamente adaptado a organizações de média e grande dimensão, ao contrário das ameaças mais generalizadas colocadas pelo ransomware para Windows. As estruturas internas distintas de ambos os sistemas também influenciam as abordagens dos atacantes à seleção de pastas e ficheiros para encriptação, sendo que as amostras orientadas para o Linux evitam frequentemente diretórios críticos para evitar a corrupção do sistema. Isto sublinha a natureza direccionada e sofisticada do ransomware para Linux em comparação com os seus homólogos para Windows.
Comparando as técnicas de encriptação entre os sistemas Windows e Linux, a CPR revela uma preferência pelo OpenSSL no ransomware para Linux, com o AES como pedra angular da encriptação comum e o RSA como a principal escolha assimétrica. Esta uniformidade entre diferentes agentes de ameaças sublinha a evolução do panorama das ciberameaças.
Clientes da Check Point estão protegidos contra o ransomware
Os clientes da Check Point permanecem protegidos contra as ameaças abrangidas por esta investigação enquanto utilizam o Check Point Harmony Endpoint e o Threat Emulation - que proporcionam uma cobertura abrangente das táticas de ataque e dos tipos de ficheiros.
O Anti-Ransomware da Check Point, uma solução de proteção contra ransomware, protege as organizações contra os ataques de ransomware mais sofisticados e recupera com segurança os dados encriptados. O Anti-Ransomware é oferecido como parte do Harmony Endpoint, a solução completa de segurança de endpoint da Check Point. O Harmony Endpoint proporciona uma proteção abrangente dos terminais ao mais alto nível de segurança:
· Ransomware.Wins.HelloKitty.ta.D
· Ransomware.Wins.GwisinLocker.ta.A
· Ransomware.Wins.Clop.ta.I
· Ransomware.Wins.Royal.ta.B
· Ransomware.Wins.IceFire.ta.A
· Ransomware.Wins.Monti.ta.A
· Ransomware.Wins.ESXi.ta.B
· Ransomware.Wins.Babuk.ta.A
· Ransomware.Wins.LockBit.ta.AK
· Ransomware.Wins.BlackCat.ta.M
Para uma exploração mais detalhada do estudo comparativo sobre ataques de ransomware para Linux e Windows, os leitores são encorajados a visitar o blogue da Check Point Research para obter os resultados completos da investigação.
Post A Comment:
0 comments: