El 'malware' para Linux va en aumento: seis tipos de ataques a tener en cuenta
El malware dirigido a entornos Linux ha aumentado de forma masiva en el último año, con actores de amenazas que utilizan una variedad de técnicas para llevar a cabo las operaciones.
Linux es un objetivo codiciado. Es el sistema operativo anfitrión de numerosos backends de aplicaciones y servidores, y alimenta una amplia variedad de dispositivos del Internet de las cosas (IoT). Sin embargo, no se hace lo suficiente para proteger las máquinas que lo ejecutan.
"El malware para Linux se ha pasado por alto de forma masiva", afirma Giovanni Vigna, director senior de inteligencia de amenazas de VMware. "Dado que la mayoría de los hosts de la nube ejecutan Linux, ser capaz de comprometer las plataformas basadas en Linux permite al atacante acceder a una enorme cantidad de recursos o infligir un daño sustancial a través de ransomware y wipers".
En los últimos años, los ciberdelincuentes y los actores de los estados-nación han apuntado a los sistemas basados en Linux. El objetivo suele ser infiltrarse en las redes corporativas y gubernamentales o acceder a infraestructuras críticas, según un reciente informe de VMware. Aprovechan la autenticación débil, las vulnerabilidades sin parches y la desconfiguración de los servidores, entre otras cosas.
El malware para Linux no sólo es cada vez más frecuente, sino también más diverso. La empresa de seguridad Intezer analizó la singularidad del código de las cepas de malware para comprobar el grado de innovación de los autores. Encontró un aumento en la mayoría de las categorías de malware en 2021 en comparación con 2020, incluyendo ransomware, troyanos bancarios y botnets. "Este aumento en la focalización de Linux puede estar correlacionado con las organizaciones que se mueven cada vez más en entornos de nube, que con frecuencia dependen de Linux para su funcionamiento", según un informe. "El nivel de innovación del malware para Linux se acercó al del malware basado en Windows".
A medida que el malware para Linux sigue evolucionando, las organizaciones deben prestar atención a los ataques más comunes y reforzar la seguridad en cada paso del camino. "Aunque Linux puede ser más seguro que otros sistemas operativos, es importante tener en cuenta que un sistema operativo es tan seguro como su eslabón más débil", afirma Ronnie Tokazowski, asesor principal de amenazas de Cofense.
Estos son los seis tipos de ataques a Linux que hay que vigilar:
1. El ransomware se dirige a las imágenes de máquinas virtuales
En los últimos años, las bandas de ransomware han empezado a asomarse a los entornos Linux. La calidad de las muestras de malware varía mucho, pero bandas como Conti, DarkSide, REvil y Hive están actualizando rápidamente su conjunto de habilidades.
Normalmente, los ataques de ransomware contra entornos de nube se planifican cuidadosamente. Según VMware, los ciberdelincuentes intentan comprometer completamente a su víctima antes de empezar a cifrar los archivos.
Recientemente, grupos como RansomExx/Defray777, y Cçlzonti comenzaron a apuntar a las imágenes de host de Linux utilizadas para las cargas de trabajo en entornos virtualizados. "Este nuevo y preocupante desarrollo muestra cómo los atacantes buscan los activos más valiosos en entornos de nube para infligir el máximo daño", se lee en el informe de VMware.
El cifrado de imágenes de máquinas virtuales alojadas en hipervisores ESXi es de especial interés para estas bandas porque saben que pueden afectar significativamente a las operaciones. Es "un tema común en el panorama del ransomware desarrollar nuevos binarios específicamente para cifrar las máquinas virtuales y sus entornos de gestión", se lee en un informe de la empresa de seguridad Trellix.
2. El criptojacking va en aumento
El criptojacking es uno de los tipos de malware para Linux más frecuentes porque puede producir dinero rápidamente. "La intención de este software es utilizar recursos computacionales para generar criptodivisas para un atacante", normalmente Monero, dice Tokazowski.
Uno de los primeros ataques notables ocurrió en 2018 cuando la nube pública de Tesla fue víctima. "Los ciberdelincuentes se habían infiltrado en la consola de Kubernetes de Tesla, que no estaba protegida por contraseña", según la empresa de monitorización de la nube RedLock. "Dentro de un pod de Kubernetes, las credenciales de acceso estaban expuestas al entorno AWS de Tesla, que contenía un cubo de Amazon S3 (Amazon Simple Storage Service) que tenía datos sensibles como la telemetría".
El criptojacking se ha vuelto más frecuente, siendo XMRig y Sysrv algunas de las familias de criptomineros más destacadas. Un informe de SonicWall mostró que el número de intentos aumentó un 19% en 2021 en comparación con 2020. "En el caso de los clientes del gobierno y de la sanidad, este aumento fue de tres dígitos, con un crecimiento del criptojacking del 709% y del 218%, respectivamente", según el documento. La empresa de seguridad contabilizó una media de 338 intentos de criptojacking por red de cliente, de media.
Para atacar a sus víctimas, muchas bandas utilizan listas de contraseñas por defecto, exploits bash o exploits que se dirigen intencionadamente a sistemas mal configurados con una seguridad débil, según Tokazowski. "Algunas de estas desconfiguraciones pueden incluir ataques de cruce de directorios, ataques de inclusión de archivos remotos o basarse en procesos mal configurados con instalaciones por defecto", afirma.
3. Tres familias de malware -XorDDoS, Mirai y Mozi- tienen como objetivo el IoT
El IoT funciona con Linux, con pocas excepciones, y la simplicidad de los dispositivos puede ayudar a convertirlos en víctimas potenciales. CrowdStrike informó que el volumen de malware dirigido a gadgets que operan en Linux aumentó un 35% en 2021 en comparación con 2020. Tres familias de malware representan el 22% del total: XorDDoS, Mirai y Mozi. Siguen el mismo patrón de infectar dispositivos, amasarlos en una red de bots y luego utilizarlos para realizar ataques DDoS.
Mirai, un troyano de Linux que utiliza ataques de fuerza bruta de Telnet y Secure Shell (SSH) para comprometer los dispositivos, se considera el ancestro común de muchas cepas de malware DDoS de Linux. Una vez que su código fuente se hizo público en 2016, surgieron múltiples variantes. Además, los autores de malware aprendieron de él e implementaron las características de Mirai en sus propios troyanos.
CrowdStrike observó que el número de variantes de malware Mirai compiladas para sistemas Linux con tecnología Intel se duplicó con creces en el primer trimestre del año 2022 en comparación con el primer trimestre de 2021, y el mayor aumento de variantes se dirigió a los procesadores x86 de 32 bits. "Las variantes de Mirai evolucionan continuamente para aprovechar las vulnerabilidades no parcheadas y ampliar su superficie de ataque", según el informe.
Otro próspero troyano de Linux es XorDDoS. Microsoft descubrió que esta amenaza aumentó un 254% en los últimos seis meses. XorDDoS utiliza variantes de sí mismo compiladas para las arquitecturas ARM, x86 y x64 de Linux para aumentar la probabilidad de una infección exitosa. Al igual que Mirai, utiliza ataques de fuerza bruta para acceder a sus objetivos y, una vez dentro, escanea en busca de servidores Docker con el puerto 2375 abierto para obtener acceso root remoto al host sin necesidad de contraseña.
Mozi compromete sus objetivos de una manera algo similar, pero para evitar que otro malware ocupe su lugar, bloquea los puertos SSH y Telnet. Crea una red de botnets peer-to-peer y utiliza el sistema de tabla de hash distribuida (DHT) para ocultar su comunicación con el servidor de comando y control detrás del tráfico legítimo de DHT.
La actividad de las redes de bots más exitosas se mantiene constante a lo largo del tiempo, según el informe Global Threat Landscape de Fortinet. La empresa de seguridad descubrió que los autores de malware dedican muchos esfuerzos a asegurar que la infección sea persistente en el tiempo, lo que significa que el reinicio del dispositivo no debería borrar el control que el hacker tiene sobre el objetivo infectado.
4. Los ataques patrocinados por estados se dirigen a entornos Linux
Los investigadores de seguridad que vigilan a los grupos de estados nacionales han observado que cada vez se dirigen más a los entornos Linux. "Se ha desplegado mucho malware para Linux con el inicio de la guerra entre Rusia y Ucrania, incluidos los wipers", afirma Ryan Robinson, investigador de seguridad de Intezer. El grupo ruso APT Sandworm habría atacado sistemas Linux de agencias británicas y estadounidenses unos días antes de que comenzara el ataque, según Cyfirma.
ESET fue una de las empresas que siguió de cerca el conflicto y sus implicaciones en materia de ciberseguridad. "Hace un mes, estuvimos observando Industroyer2, un ataque contra un proveedor de energía ucraniano", dice Marc-Étienne Léveillé, investigador senior de malware en ESET. "Este ataque incluía gusanos de Linux y Solaris que se propagaban utilizando SSH y quizás credenciales robadas. Se trataba de un ataque muy dirigido que tenía claramente el objetivo de destruir los datos de las bases de datos y los sistemas de archivos."
El limpiador de Linux "destruye todo el contenido de los discos conectados al sistema utilizando shred si está disponible o simplemente dd (con if=/dev/random) en caso contrario", según el documento de ESET. "Si hay varios discos conectados, la eliminación de datos se realiza en paralelo para acelerar el proceso". Junto con CERT-UA, ESET atribuyó el malware al grupo Sandstorm APT, que había utilizado Industroyer en 2016 para cortar la energía en Ucrania.
En cuanto a otros actores de estados-nación, Microsoft y Mandiant notaron que múltiples grupos respaldados por China, Irán, Corea del Norte y otros habían estado explotando el infame fallo Log4j en sistemas Windows y Linux para obtener acceso a las redes que tienen como objetivo.
5. Los ataques sin archivos son difíciles de detectar
Los investigadores de seguridad de los Alien Labs de AT&T vieron que varios actores, entre ellos TeamTNT, han empezado a utilizar Ezuri, una herramienta de código abierto escrita en Golang. Los atacantes utilizan Ezuri para cifrar el código malicioso. Al descifrarlo, la carga útil se ejecuta directamente desde la memoria sin dejar ningún rastro en el disco, lo que hace que estos ataques sean difíciles de detectar por el software antivirus.
El principal grupo asociado a esta técnica, TeamTNT, tiene como objetivo los sistemas Docker que no están bien configurados, con el fin de instalar bots DDoS y criptomineros.
6. El malware de Linux se dirige a las máquinas de Windows
El malware de Linux también puede explotar las máquinas de Windows a través del Subsistema de Windows para Linux (WSL), una característica de Windows que permite que los binarios de Linux se ejecuten de forma nativa en este sistema operativo. El WSL debe instalarse manualmente o uniéndose al programa Windows Insider, pero los atacantes pueden instalarlo si tienen acceso elevado.
La empresa de seguridad en la nube Qualys examinó la viabilidad de llevar a cabo ataques o ganar persistencia en una máquina Windows utilizando WSL. Analizó dos técnicas hasta el momento, la ejecución por proxy y la instalación de utilidades, y concluyó que ambas son altamente factibles. Según los expertos en seguridad de la compañía, las organizaciones que quieran protegerse contra este tipo de ataques pueden desactivar la virtualización y la capacidad de instalar WSL. También es útil auditar los procesos en ejecución de forma continua.
Los atacantes también trasladaron la funcionalidad de las herramientas de Windows a Linux, con el objetivo de atacar más plataformas. Un ejemplo es Vermilion Strike, que se basa en una popular herramienta de pruebas de penetración para Windows, CobaltStrike, pero que puede utilizarse para atacar tanto Windows como Linux. Vermilion Strike ofrece a los atacantes capacidades de acceso remoto, incluyendo la manipulación de archivos y la ejecución de comandos de shell. La herramienta se utilizó contra empresas de telecomunicaciones, agencias gubernamentales e instituciones financieras, y la intención principal de los atacantes era realizar espionaje.
Los investigadores de Intezer afirman en su informe que "Vermilion Strike podría no ser la última implementación en Linux" de CobaltStrike Beacon.
Protección contra el malware dirigido a entornos Linux
La seguridad es más débil cuando los administradores de sistemas y los desarrolladores corren contra el tiempo y los plazos. Los desarrolladores, por ejemplo, pueden confiar ciegamente en el código de la comunidad; copian/pegan el código de Stack Overflow, ejecutan el software rápidamente después de clonar un repositorio de GitHub o despliegan una aplicación desde Docker Hub directamente en su entorno de producción.
Los atacantes oportunistas se aprovechan de esta "economía de atención". Añaden criptomineros a los contenedores de Docker o crean paquetes de código abierto con nombres casi idénticos a bibliotecas muy utilizadas, aprovechando algún que otro error ortográfico de los desarrolladores.
"La explotación de los despliegues abiertos de Docker y Kubernetes es bastante interesante: la gente descuidada deja sus despliegues de contenedores abiertos al mundo, y estas instalaciones son fácilmente tomadas y utilizadas como cabeza de puente para más ataques o para otra actividad de monetización, como la minería de Monero", dice Vigna de VMware.
"Soy un ávido defensor de la cultura y el software de código abierto, pero algo que me pone los pelos de punta es la fragilidad de la cadena de confianza en los repositorios públicos de software", afirma Ryan Cribelar, ingeniero de investigación de vulnerabilidades de Nucleus Security. "Esto no es una preocupación específica de Linux, por supuesto, pero una biblioteca maliciosa al acecho en los repositorios de PyPi o NPM, por ejemplo, podría causar la mayor pérdida de sueño a los equipos de administración y seguridad de Linux".
En el caso de los servidores Linux, los errores de configuración también son un gran problema, y pueden ocurrir en múltiples puntos de la infraestructura. "Comúnmente, los ajustes del cortafuegos o del grupo de seguridad están mal configurados para permitir el acceso a la Internet más amplia, permitiendo así el acceso externo a las aplicaciones desplegadas en los servidores Linux", dice Robinson de Intezer.
Las aplicaciones suelen estar mal configuradas para permitir el acceso sin autenticación o utilizando credenciales por defecto. "Dependiendo de la aplicación mal configurada, los atacantes podrán robar información o ejecutar código malicioso en el servidor Linux", añade Robinson. "Los ejemplos más comunes incluyen demonios Docker mal configurados, lo que permite a los atacantes ejecutar sus propios contenedores o aplicaciones mal configuradas que filtran contraseñas e información de los clientes, como Apache Airflow". Robinson añade que la configuración por defecto a menudo no equivale a una configuración segura.
Joel Spurlock, director senior de investigación de malware en CrowdStrike, ve otro problema: los parches. Sostiene que las organizaciones "no pueden o no quieren mantener las máquinas actualizadas". Los parches deben aplicarse con regularidad, y las palabras de moda como EDR y Zero Trust también deben estar en el menú.
El malware que se dirige a los entornos Linux prospera en un vasto campo de juego de dispositivos y servidores de consumo, entornos virtualizados y sistemas operativos especializados, por lo que las medidas de seguridad necesarias para protegerlos a todos exigen atención y una planificación meticulosa.
