Supportiamo i browser, non i dinosauri. Aggiorna il tuo browser per visualizzare correttamente il contenuto di questa pagina Web.

Non sai qual è la soluzione più adatta per la tua azienda?

Ransomware per Linux: come proteggere l'azienda

Proteggere un'azienda dal ransomware è un compito impegnativo, in particolare quando si utilizzano diversi sistemi operativi, ognuno con i propri livelli di sicurezza e rischio. Con i dipendenti che generalmente utilizzano una combinazione di sistemi operativi Windows, MacOS, Linux e mobile, garantire la coerenza della sicurezza aziendale può essere difficile.

Questo articolo esamina il ransomware per Linux: che cos'è, come può influire sulla sicurezza, quali sono i diversi tipi di ransomware che prendono di mira i dispositivi Linux e cosa puoi fare per proteggerti dalle minacce.

Prova Avast Business Hub gratis per 30 giorni

Indipendentemente dalle dimensioni della tua azienda, scegli una soluzione di sicurezza di livello enterprise. Scarica Avast Business Hub e provalo per 30 giorni, senza rischi.

Uomo in camicia azzurra che lavora al computer con una tazza di caffè in mano.

Che cos'è il ransomware per Linux?

In termini generali, il ransomware per Linux è un tipo di malware in grado di attaccare i sistemi basati sul sistema operativo Linux (comprese le distribuzioni come Ubuntu e Debian). Questo tipo di attacco prevede di infiltrarsi in un dispositivo o in una rete, identificare i documenti importanti e criptarli. Spesso, l'attacco viene notato solo quando si riceve un messaggio che richiede il pagamento per la restituzione dei file criptati. Se per gli utenti privati può trattarsi di una situazione preoccupante, per un'azienda potrebbe causare danni irreparabili alle operazioni e in termini di fiducia dei clienti.

Linux è sicuro?

Sebbene Linux abbia la reputazione di fornire misure di sicurezza efficaci, che lo rendono un'opzione molto comune per i server aziendali, la verità è che nessun sistema operativo è completamente al sicuro dagli attacchi del malware. La natura del malware è tale che spesso l'errore umano può essere la causa di una violazione: attraverso il phishing, l'utilizzo di password deboli o la mancata implementazione degli aggiornamenti quando vengono resi disponibili.

Uno degli aspetti positivi per gli utenti Linux è che gli aggiornamenti per la sicurezza non solo vengono rilasciati regolarmente, ma sono generalmente considerati altamente efficaci, garantendo uno dei migliori livelli di sicurezza disponibili per un sistema operativo.

Un altro aspetto positivo è che Linux assegna automaticamente autorizzazioni di accesso limitate: se un hacker malintenzionato ottiene l'accesso a un account utente, è meno probabile che possa accedere a dati sicuri o ottenere controlli amministrativi.

I sistemi operativi Windows e Mac sono più ampiamente utilizzati rispetto a Linux, ma gli autori degli attacchi sanno che Linux sta diventando sempre più popolare come sistema per i server aziendali. Ottenendo l'accesso a un sistema Linux, gli hacker hanno molte più probabilità di accedere a un server piuttosto che a un singolo endpoint. Per questo motivo, le aziende non devono scendere a compromessi: è necessario utilizzare un software antivirus per ridurre il rischio di essere attaccati.

Ransomware su Linux: cosa succede?

Il ransomware per Linux rappresenta una preoccupazione crescente per le aziende che utilizzano server Linux. Comprendere il processo è vitale per essere in grado di individuare attività di rete sospette e altri indicatori di pericolo. Anche se gli aggressori possono adottare approcci diversi, le fasi descritte di seguito illustrano un tipico attacco del ransomware per Linux.

1. Sfruttamento delle vulnerabilità

Per accedere a una rete e diffondersi, il ransomware per Linux si basa generalmente sull'identificazione delle vulnerabilità. Può trattarsi di un semplice processo di sistema senza patch o di un difetto in un servizio. La vulnerabilità potrebbe non influire sull'utilizzo quotidiano e passare facilmente inosservata.

Alcune forme di ransomware per Linux eseguono una scansione per individuare le vulnerabilità SQL injection che potrebbero fornire l'accesso amministrativo. L'applicazione di aggiornamenti e correzioni è fondamentale per garantire che le vulnerabilità note vengano risolte.

Diagramma che mostra il ransomware che si collega a una cartella di documenti su un computer.

2. Configurazione

Una volta che il ransomware è penetrato nel sistema, richiederà il download di file eseguibili dannosi (in genere un worm, un Trojan o un virus), che possono quindi essere posizionati nelle directory locali della rete. A questo punto, inizierà a operare. Potrebbe acquisire determinate autorizzazioni di accesso e la possibilità di eseguire operazioni all'avvio o in modalità di ripristino.

In alcuni casi, il ransomware utilizzerà l'escalation dei privilegi per accedere a funzionalità in genere utilizzate solo dagli amministratori di alto livello. Questo bypass potrebbe consentire al malware di visualizzare e modificare qualsiasi dato.

Diagramma che mostra il posizionamento del ransomware nelle directory di una rete.>

3. Scansione

Il ransomware eseguirà la scansione del sistema alla ricerca di cartelle condivise e file con estensioni specifiche. Questi obiettivi sono predeterminati e possono includere file di documenti (.PDF, .DOC) e software relativi al cloud o all'archiviazione di rete.

Anche se non è ancora stato notato dall'azienda, il malware potrebbe essersi stabilito sul server e aver già preso di mira i file da sottrarre per il riscatto.

Diagramma che mostra la scansione ransomware di un sistema e l'identificazione di file specifici da prendere di mira.

4. Criptaggio

In questa fase dell'attacco a un sistema Linux, il ransomware creerà una versione criptata dei file di destinazione, rimuovendo gli originali. A seconda del tipo di criptaggio utilizzato, questa operazione potrebbe essere irreversibile.

Molti metodi di criptaggio vengono definiti asimmetrici, in quanto utilizzano una coppia di chiavi per criptare e decriptare i dati. In genere, una chiave è pubblica e visibile, mentre l'altra è privata e detenuta solo dal creatore. Il ransomware contatterà il server del criminale informatico per ottenere una chiave pubblica al fine di avviare il processo di criptaggio.

Diagramma di una finestra di un computer che visualizza un documento criptato accanto all'immagine di un lucchetto.

Se alcuni dispositivi al momento non sono connessi alla rete, l'autore dell'attacco attenderà fino a quando gli utenti non saranno di nuovo online prima di criptare anche i loro file.

I tipi di criptaggio più diffusi includono:

  • AES - Advanced Encryption Standard (Rijndael) è uno standard creato dal National Institute of Standards and Technology degli Stati Uniti. Le chiavi possono essere a 128, 192 o 256 bit (più elevato è il numero, più complesso è il criptaggio).
  • RSA - un sistema a chiave pubblica sviluppato nel 1977. Il nome è un acronimo dei suoi tre creatori: Rivest-Shamir-Adleman. Le chiavi in genere hanno una lunghezza di 1024 o 2048 bit, che le rende difficili da violare.

5. Richieste

Nella fase finale, viene messa in atto l'estorsione attraverso una richiesta di riscatto. Può trattarsi di un messaggio visualizzato all'avvio o di un documento inserito sul desktop o nella stessa posizione dei file criptati. La richiesta di riscatto di solito include le istruzioni per il pagamento. Alcune includono anche una scadenza o un conto alla rovescia, che può minacciare l'aumento del riscatto o la cancellazione permanente dei file se il pagamento non viene effettuato in tempo.

A questo punto, il ransomware ha completato il suo compito.

Diagramma che mostra un documento criptato a sinistra e una richiesta di ransomware con un conto alla rovescia a destra.

Tipi di ransomware per Linux

Tycoon

Il primo caso di Tycoon è stato individuato nel 2019. Viene in genere utilizzato per attaccare le PMI e le organizzazioni di istruzione superiore. Può infettare sia i dispositivi Linux che Windows.

L'accesso al sistema viene ottenuto tramite un archivio ZIP contenente un file di immagine Java dannoso. Un protocollo desktop remoto non protetto viene quindi utilizzato per eseguire l'oggetto Java, che cripterà il sistema e lascerà una richiesta di riscatto.

Gli attacchi in genere offrono un periodo di 60 ore per il pagamento tramite Bitcoin. In alcuni casi, l'importo aumenta ogni giorno.

QNAPCrypt

Questo attacco si concentra sui dispositivi NAS (Network-Attached Storage) basati su Linux. La distribuzione in genere avviene tramite aggiornamenti falsi e file infetti, inclusi archivi ZIP.

Il punto di ingresso di QNAPCrypt è l'autenticazione difettosa di un proxy SOCKS5 (un'alternativa a una VPN che protegge i pacchetti di dati durante il trasferimento) e ha un basso tasso di rilevamento. Una volta che un sistema è compromesso, il malware richiede un portafoglio Bitcoin e una chiave RSA pubblica dal server dell'hacker prima di criptare i dati della vittima.

Una volta completato il criptaggio, le informazioni sul riscatto vengono lasciate in un file .txt. A ogni vittima viene fornito un portafoglio Bitcoin unico in cui pagare il riscatto, consentendo agli autori dell'attacco di evitare il rilevamento.

RansomEXX

RansomEXX (anche noto come Defrat777) è diventato una delle forme più comuni di ransomware per i dispositivi Linux negli ultimi anni. È nato come malware per Windows, ma è stato sempre più utilizzato per attaccare i server Linux, in particolare contro il governo brasiliano, il Dipartimento dei Trasporti in Texas e l'Ospedale Universitario di Brno nella Repubblica Ceca.

Questo tipo di ransomware è specializzato nella "caccia grossa": viene spesso utilizzato per colpire grandi organizzazioni e governi nel tentativo di ottenere il pagamento di importi molto elevati. Invece di attaccare più endpoint, il malware si dirige direttamente verso il server, limitando l'accesso ai file alla fonte. Ciò rende i server Linux un obiettivo primario per questo tipo di attacco.

RansomEXX viene in genere distribuito tramite un'email contenente un documento Word dannoso. Una volta aperto, un Trojan viene scaricato sul sistema dell'utente, criptando i file e generando una chiave di criptaggio a 256 bit. La chiave viene quindi ricriptata ogni secondo.

Erebus

Erebus è stato osservato per la prima volta nel 2016 come ransomware basato su Windows. È stato utilizzato per la prima volta contro i sistemi Linux nel 2017 per un attacco di alto profilo contro la società di Web hosting sudcoreana NAYANA. Sono stati interessati 153 server Linux e più di 3.400 siti Web aziendali. Il riscatto di 1 milione di dollari in Bitcoin ha stabilito un record per l'importo più alto pagato finora.

Erebus entra in azione quando l'utente fa clic su collegamenti dannosi o apre allegati email infetti. Può anche ottenere l'accesso a un sistema tramite software dannoso, come programmi di installazione falsi.

Il ransomware esegue la scansione di una vasta gamma di tipi di file da criptare, inclusi database, archivi e documenti. Il processo di criptaggio utilizzato è difficile da decifrare, in quanto utilizza una combinazione di tre diversi sistemi crittografici (RSA-2048, AES e RC4). Il ransomware elimina anche le copie shadow del volume del sistema operativo, rendendo il recupero ancora più difficile.

KillDisk

KillDisk è un altro ransomware che ha avuto inizio in Windows prima di essere adattato per Linux. La versione Linux di KillDisk cripta ogni file con un diverso set di chiavi di criptaggio a 64 bit. Impedisce quindi l'avvio del sistema, sovrascrivendo il bootloader e presentando all'utente una richiesta di riscatto a schermo intero che richiede il pagamento in Bitcoin.

La versione di KillDisk per Linux varia da quella per Windows. Le chiavi necessarie per decriptare i dati non vengono memorizzate localmente o inviate a un server durante un attacco Linux: lo strumento di criptaggio molto probabilmente è stato scritto per essere distruttivo piuttosto che per perpetrare un'estorsione. Se non esiste alcuna chiave di criptaggio, è improbabile che sia possibile recuperare i file, indipendentemente dal fatto che venga pagato il riscatto.

Proteggiti dal ransomware per Linux

Il ransomware per Linux è una minaccia crescente, in particolare per gli utenti aziendali. Le azioni da intraprendere per proteggere la tua azienda dagli attacchi ransomware includono:

  • Installare regolarmente gli aggiornamenti. Tutti i server e gli endpoint devono essere mantenuti aggiornati. Le patch di sicurezza e le correzioni software devono essere sempre installate non appena sono disponibili.
  • Informare il personale sulla sicurezza informatica. Per ridurre al minimo gli errori umani, è fondamentale che tutto il personale abbia un livello fondamentale di formazione sulla sicurezza informatica. Il quiz sulla sicurezza informatica di Avast ti aiuterà a determinare il livello di preparazione del personale e a identificare i punti deboli che possono essere migliorati con la formazione.
  • Limitare le autorizzazioni di accesso. Le autorizzazioni degli account utente dovrebbero, in base ai criteri, essere ridotte al minimo. Tutti hanno accesso solo ai file e alle applicazioni necessari per completare il proprio lavoro.
  • Eseguire il backup dei dati. Conservare in modo sicuro i backup dei dati è fondamentale per ridurre al minimo i potenziali danni di un attacco.
  • Stabilire una strategia di sicurezza. Molti attacchi si basano sull'errore umano per ottenere l'accesso a una rete. Questo rischio può essere significativamente ridotto implementando una strategia di sicurezza che includa la formazione del personale, l'implementazione di software di sicurezza e l'adozione di best practice relative a password complesse, protezione delle email e sicurezza degli endpoint.
  • Eseguire ispezioni e valutazioni periodiche delle vulnerabilità. I sistemi devono essere monitorati e attentamente valutati a intervalli regolari. I log eventi devono essere esaminati come parte di questo processo per identificare eventuali attività sospette.
  • Adottare un piano di risposta. Allo stesso modo in cui un ufficio ha un piano di sicurezza antincendio, occorre mettere in atto una strategia per il ransomware, al fine di garantire che il personale sappia cosa fare in caso di attacco. L'obiettivo è ridurre al minimo i danni e garantire un recupero senza problemi.

Scopri di più nell'articolo "Come proteggere il tuo server Linux".

Antivirus avanzato per i server Linux

Sebbene Linux offra uno dei migliori livelli di sicurezza disponibili per un sistema operativo, non è sufficiente da solo per mantenere al sicuro i dati aziendali e il server. Proteggi la tua azienda con una soluzione dedicata contro il malware Linux e per la protezione degli endpoint.

Chiudi

Ancora qualche istante...

Completa l'installazione facendo clic sul file scaricato, quindi segui le istruzioni.

Avvio del download in corso...
Nota: se il download non viene avviato automaticamente, fai clic qui.
Fai clic su questo file per avviare l'installazione del prodotto Avast.