Ransomware pro Linux: Jak ochránit vaši firmu
Ochrana firmy před ransomwarem je náročný úkol, zvláště když používáte různorodé operační systémy s různými úrovněmi zabezpečení a rizika. Vzhledem k tomu, že zaměstnanci nejspíše používají kombinaci Windows, macOS, Linuxu a mobilních operačních systémů, může být konzistentní zabezpečení firmy obtížné.
Tento článek se zabývá ransomwarem pro Linux: co to je, jaké jsou typy ransomwaru, které cílí na zařízení s Linuxem, a co můžete dělat, abyste se před touto hrozbou ochránili.
Vyzkoušejte si Avast Business Hub ZDARMA na 30 dnů
Dopřejte si zabezpečení na podnikové úrovni bez ohledu na to, jak velká je vaše firma. Stáhněte si Avast Business Hub a vyzkoušejte si ho na 30 dnů – nic tím neriskujete.
Co je ransomware pro Linux?
Ransomware pro Linux je obecně vzato typ malwaru, který útočí na operační systém Linux, respektive na jeho distribuce, jako jsou Ubuntu nebo Debian. Tento typ útoku infiltruje zařízení či síť, najde důležité dokumenty a zašifruje je. K jeho odhalení dojde obvykle až při obdržení zprávy s žádostí o výkupné za zašifrované soubory. Jednotlivce může tento útok vyděsit, ale firmě dokáže způsobit potenciálně nenapravitelné provozní škody a ztrátu důvěry zákazníků.
Je Linux bezpečný?
I když je Linux pro svá účinná bezpečnostní opatření oblíbenou volbou pro firemní servery, nedokáže ve skutečnosti žádný operační systém poskytovat dokonalou ochranu před útoky malwaru. Malware ze své podstaty využívá toho, že častou příčinou narušení zabezpečení je lidská chyba – například když uživatel naletí na phishing, používá slabá hesla nebo neinstaluje aktualizace hned, jak jsou dostupné.
Jednou z kladných stránek Linuxu je to, že aktualizace zabezpečení jsou nejen pravidelné, ale obecně se považují za vysoce účinné, takže je tento systém považován za jeden z nejzabezpečenějších.
Další kladnou stránkou Linuxu je, že tento systém automaticky uděluje omezená přístupová oprávnění, takže když se hacker dostane do účtu uživatele, má menší šanci, že získá přístup k zabezpečeným datům nebo funkcím správce.
Operační systémy Windows a macOS jsou mnohem rozšířenější než Linux, ale zločinci vědí, že Linux je čím dál oblíbenější volbou pro firemní servery. Když už se hackeři dostanou do linuxového systému, nejspíše to bude server, nikoli nějaké koncové zařízení. Z tohoto důvody by firmy neměly usínat na vavřínech, ale musí používat antivirový software, který omezí riziko útoku.
Ransomware v Linuxu: Jak probíhá útok?
Ransomware pro Linux představuje pro firmy používající linuxové servery stále větší riziko. Pochopení útoku je nezbytné k tomu, abyste dokázali odhalit podezřelé aktivity v síti a jiné varovné signály. Způsoby útoků se liší, ale typické fáze ransomwarového útoku na Linux jsou popsány níže.
1. Zneužití zranitelností
Ransomware pro Linux obvykle hledá zranitelnosti, které by mu umožnily přístup do sítě a další šíření. Takovou zranitelností může být systém bez nainstalovaných oprav nebo chyba v nějaké službě. Tato zranitelnost nemusí nijak ovlivňovat každodenní používání a může snadno zůstat nepovšimnuta.
Některé formy ransomwaru pro Linux najdou pomocí vyhledávacích nástrojů zranitelnosti umožňující injektáž SQL, která jim udělí správcovský přístup. Opravu známých zranitelností je nezbytné zajistit instalací aktualizací a oprav.
2. Instalace
Jakmile se ransomware dostane do systému, vyžádá si stažení škodlivých spustitelných souborů (zpravidla červa, trojského koně či viru), které pak může umístit do místních adresářů v síti. V tomto okamžiku zahájí svou činnost. Může si například udělit určitá přístupová oprávnění, aby se mohl spouštět při startu počítače nebo v nouzovém režimu.
V některých případech získá pomocí zvýšených oprávnění přístup k funkcím, které obvykle používají jen správci na vyšších úrovních. Díky tomu dokáže tento malware prohlížet a upravovat libovolná data.
3. Prohledání systému
Ransomware vyhledá v systému sdílené složky a soubory s konkrétními přílohami. Tyto cíle má předem určeny a často se zaměřuje na soubory dokumentů (PDF či DOC) a software související s ukládáním dat v cloudu či síti.
Ve firmě jste si tohoto malwaru nejspíš ještě nevšimli, ale on už se usadil na vašem serveru a našel si soubory, za něž bude požadovat výkupné.
4. Zašifrování dat
V této fázi útoku na linuxový systém vytvoří ransomware zašifrovanou verzi cílových souborů a ty původní smaže. V závislosti na typu použitého šifrování může být tento krok nevratný.
Mnohé metody šifrování se označují jako asymetrické, protože k zašifrování a dešifrování dat používají dvojici klíčů. Jeden klíč je obvykle veřejný a viditelný a druhý je soukromý a zná ho jen tvůrce. Ransomware si ze serveru kybernetického zločince zjistí veřejný klíč a zahájí šifrování.
Pokud zařízení zrovna nejsou připojená k síti, útočník počká, než se uživatelé znovu připojí, a pak jim zašifruje soubory.
Mezi běžné typy šifrování patří:
- AES – Advanced Encryption Standard (Rijndael) je standard vytvořený institucí U.S. National Institute of Standards and Technology. Klíče mohou mít 128, 192 nebo 256 bitů (čím vyšší číslo, tím složitější šifrování).
- RSA – systém veřejných klíčů vyvinutý v roce 1977. Jeho název je zkratkou příjmení jeho tří tvůrců: Rivest, Shamir a Adleman. Tyto klíče mají obvykle délku 1 024 nebo 2 048 bitů, což je činí obtížně prolomitelnými.
5. Požadavky
V konečné fázi je formulován vzkaz s žádostí o výkupné. Může mít podobu zprávy zobrazené při startu systému nebo dokumentu na ploše či ve složce se zašifrovanými soubory. Tento vzkaz obvykle obsahuje pokyny k platbě. Jeho součástí může být také konečný termín nebo odpočet znázorňující navyšování výkupného s ubývajícím časem, případně pohrůžka trvalého smazání souborů, pokud platba neproběhne včas.
Tím ransomware splnil svůj úkol.
Typy ransomwaru pro Linux
Tycoon
Tycoon byl poprvé zaznamenán v roce 2019. Obvykle se používá k útokům na malé či střední firmy a vyšší vzdělávací instituce. Dokáže infikovat zařízení s Linuxem i Windows.
Do systému získá přístup skrze archiv ZIP obsahující škodlivý soubor bitové kopie Java. Následně se tento objekt Java spustí přes nezabezpečený protokol vzdálené plochy, zašifruje systém a zanechá vzkaz s žádostí o výkupné.
Uživatel má obvykle 60 hodin na odeslání platby v bitcoinech. V některých případech požadované výkupné s každým dnem narůstá.
QNAPCrypt
Tento útok se zaměřuje na linuxová síťová úložná zařízení (NAS). Obvykle se šíří formou falešných aktualizací a infikovaných souborů, jako jsou archivy ZIP.
QNAPCrypt útočí skrze chybu v ověřování v SOCKS5 proxy (alternativa VPN, která chrání datové pakety při přenosu) a má nízkou míru detekce. Jakmile se dostane do systému, vyžádá si ze serveru hackera bitcoinovou peněženku a veřejný klíč a následně oběti zašifruje data.
Až šifrování dokončí, zanechá v souboru TXT vzkaz s žádostí o výkupné. Každá oběť dostane jedinečnou bitcoinovou peněženku, kam má zaplatit výkupné. Útočník se tímto postupem chrání před odhalením.
RansomEXX
RansomEXX (též Defrat777) se v posledních letech stal jednou z nejběžnějších forem ransomwaru na zařízeních s Linuxem. Původně šlo o malware pro Windows, který se postupně začal používat k útokům na linuxové servery. Mezi nejznámější patří útoky na brazilskou státní správu, ministerstvo dopravy v Texasu a Fakultní nemocnici Brno v České republice.
Tento typ ransomwaru se snaží ulovit „velké hráče“ – obvykle cílí na rozsáhlé organizace a státní správu, aby mohl požadovat vysoké výkupné. Tento malware neútočí na koncová zařízení, ale zaměřuje se přímo na server, čímž omezí přístup k souborům přímo v jejich zdroji. Primárním cílem tohoto typu útoku jsou proto linuxové servery.
RansomEXX se obvykle šíří přes e-mail obsahující škodlivý dokument aplikace Word. Po jeho otevření si uživatel stáhne do systému trojského koně, který zašifruje soubory a vygeneruje 256bitový šifrovací klíč. Tento klíč je následně každou sekundu znovu zašifrován.
Erebus
Erebus se poprvé objevil v roce 2016 jako ransomware pro Windows. K útočení na linuxové systémy byl poprvé použit v roce 2017; tehdy se jednalo o útok na významnou jihokorejskou webhostingovou společnost NAYANA. Postihl 153 serverů s Linuxem a více než 3 400 firemních webů. Výkupné ve výši 1 milionu dolarů v bitcoinech bylo v té době rekordní.
Erebus spoléhá na to, že uživatel klikne na škodlivé odkazy nebo otevře infikované e-mailové přílohy. Také se může dostat do systému pomocí škodlivého softwaru, jako jsou falešné instalační programy.
Tento ransomware vyhledává celou řadu typů souborů, jako jsou databáze, archivy či dokumenty, které následně zašifruje. Jeho šifrování je obtížně prolomitelné, protože používá kombinaci tří různých šifrovacích systémů (RSA-2048, AES a RC4). Také maže stínové kopie svazků operačního systému, čímž ještě více znesnadňuje obnovení dat.
KillDisk
KillDisk je dalším ransomwarem, který byl nejprve určen pro Windows a následně adaptován pro Linux. Linuxová verze tohoto ransomwaru šifruje každý soubor jinou sadou 64bitových šifrovacích klíčů. Následně přepsáním spouštěcího zavaděče zabrání spuštění systému a zobrazí uživateli na celou obrazovku žádost o platbu výkupného v bitcoinech.
V tomto okamžiku se linuxová verze odlišuje od verze pro Windows: Při útoku na Linux nejsou klíče potřebné k dešifrování dat uloženy místně ani odeslány na nějaký server. To znamená, že šifrovací nástroj byl nejspíše vytvořen tak, aby se choval destruktivně, nikoli za účelem vydírání. Pokud neexistuje žádný šifrovací klíč, soubory už nejspíše nikdy neobnovíte bez ohledu na to, jestli zaplatíte výkupné.
Jak se chránit před ransomwarem pro Linux
Ransomware pro Linux je rostoucí hrozba především pro uživatele ve firmách. Pokud chcete svou firmu chránit před útoky ransomwaru, řiďte se následujícími radami:
- Pravidelně instalujte aktualizace. Všechny servery a koncová zařízení je nutné aktualizovat. Aktualizace zabezpečení a opravy softwaru by se měly instalovat hned, jak jsou k dispozici.
- Školte zaměstnance o kybernetickém zabezpečení. Všichni pracovníci musí absolvovat základní školení o kybernetickém zabezpečení, abyste minimalizovali riziko lidské chyby. Pomocí kvízu o kybernetickém zabezpečení od Avastu můžete zjistit, jak jsou na tom vaši pracovníci se znalostmi této problematiky, a identifikovat nedostatky, které lze napravit školením.
- Omezte přístupová oprávnění. Oprávnění uživatelských účtů by měla být minimalizována pomocí pravidel. Každý by měl mít přístup jen k těm souborům a aplikacím, které potřebuje ke své práci.
- Zálohujte data. Uchovávání zabezpečených záloh dat je nezbytné k minimalizaci potenciálních škod způsobených útokem.
- Určete si bezpečnostní strategii. Spousta útoků spoléhá na to, že jim přístup do sítě umožní lidská chyba. Toto riziko lze významně omezit stanovením bezpečnostní strategie, která zahrnuje školení pracovníků, nasazení bezpečnostního softwaru a zavedení osvědčených postupů, jako je používání silných hesel, bezpečná práce s e-mailem a zabezpečení koncových zařízení.
- Provádějte pravidelné inspekce a posuzování zranitelností. Systémy by měly být monitorovány a pravidelně pečlivě vyhodnocovány. V rámci toho byste měli kontrolovat protokoly událostí a hledat v nich podezřelé aktivity.
- Mějte plán reakce. Stejně jako máte požární plán, měli byste zavést i plán pro případ napadení ransomwarem, aby vaši pracovníci věděli, co mají v případě útoku dělat. Jeho cílem by mělo být minimalizovat škody a zajistit hladké obnovení.
Více se dozvíte v článku Jak zabezpečit server s Linuxem.
Pokročilý antivirus pro linuxové servery
Přestože je Linux jedním z nejzabezpečenějších operačních systémů, sám o sobě na ochranu firemních dat a serveru nestačí. Zabezpečte svou firmu speciální ochranou koncových zařízení a Linuxu před malwarem.