Linux-ransomware: Hoe u uw bedrijf beschermt
Het is een hele opgave om uw bedrijf tegen ransomware te beschermen, vooral wanneer er verschillende besturingssystemen in gebruik zijn, elk met hun eigen beveiligings- en risiconiveaus. Uw medewerkers werken waarschijnlijk met een combinatie van Windows, MacOS, Linux en mobiele besturingssystemen. Dat kan het lastig maken om uw bedrijfsbeveiliging consistent te houden.
Dit artikel gaat over Linux-ransomware: wat het is, de verschillende soorten ransomware die het gemunt hebben op apparaten die op Linux draaien, en hoe u zich ertegen kunt wapenen.
Probeer Avast Business Hub 30 dagen GRATIS uit
Maak kennis met de voordelen van beveiliging op ondernemingsniveau, ongeacht de grootte van uw bedrijf. Download Avast Business Hub en probeer het 30 dagen lang uit, zonder risico's.
Wat is Linux-ransomware?
In algemene zin is Linux-ransomware een vorm van malware die systemen kan aanvallen die zijn gebaseerd op het besturingssysteem Linux (waaronder distributies als Ubuntu en Debian). Bij dit type aanval wordt een apparaat of netwerk geïnfiltreerd, waarna belangrijke documenten worden opgespoord en versleuteld. Vaak wordt een aanval voor het eerst opgemerkt wanneer een bericht wordt verstuurd waarin betaling wordt geëist voor de teruggave van de versleutelde bestanden. De gewone gebruiker schrikt zich wild, maar bij een bedrijf kan het onherstelbare schade toebrengen aan de bedrijfsvoering en het vertrouwen van de klant.
Is Linux veilig?
Linux staat bekend om zijn krachtige beveiligingsmaatregelen, waardoor het een populaire optie is voor bedrijfsservers. In werkelijkheid biedt geen enkel besturingssysteem waterdichte bescherming tegen malwareaanvallen. Inbreuken als gevolg van malware zijn vaak het gevolg van menselijke fouten, of het nu gaat om phishing, het gebruik van zwakke wachtwoorden of het niet doorvoeren van updates wanneer deze beschikbaar zijn.
Linux heeft als voordeel dat beveiligingsupdates niet alleen regelmatig plaatsvinden, maar in het algemeen als zeer effectief worden beschouwd. Daardoor wordt uw besturingssysteem steeds optimaal beveiligd.
Een ander positief punt is dat Linux automatisch beperkte toegangsrechten toekent. Dit betekent dat als een kwaadwillige hacker toegang krijgt tot een gebruikersaccount, hij minder snel ook toegang heeft tot beveiligde gegevens of beheertaken kan uitvoeren.
Windows- en Mac-besturingssystemen worden meer gebruikt dan Linux, maar hackers weten dat Linux als systeem voor bedrijfsservers aan populariteit wint. Wanneer ze inbreken op een Linux-systeem, is de kans veel groter dat ze daarmee toegang krijgen tot een server dan tot één eindpunt. Daarom mogen bedrijven niet te snel tevreden zijn. U moet antivirussoftware gebruiken om het risico van aanvallen te verminderen.
Ransomware op Linux: Hoe werkt dat?
Voor bedrijven die Linux-servers gebruiken is Linux-ransomware een groeiend probleem. Wie verdachte netwerkactiviteiten en andere rode vlaggen wil kunnen herkennen, moet weten hoe een en ander in zijn werk gaat. De aanpak van de aanvallers varieert. Hieronder vindt u een beschrijving van de meest gangbare stadia van een Linux-ransomwareaanval.
1. Kwetsbaarheden benutten
Linux-ransomware verspreidt zich in het algemeen door slim gebruik te maken van gevonden kwetsbaarheden. Deze kunnen bijvoorbeeld het gevolg zijn van een ongepatcht systeemproces of een fout in een service. Dit soort kwetsbaarheden heeft vaak geen gevolgen voor het dagelijkse gebruik en blijft daardoor makkelijk onopgemerkt.
Sommige vormen van Linux-ransomware gebruiken scanners om kwetsbaarheden rondom SQL-injectie op te sporen waarmee beheertoegang kan worden verkregen. Het toepassen van updates en fixes is van cruciaal belang om ervoor te zorgen dat bekende kwetsbaarheden worden gepatcht.
2. Configureren
Zodra de ransomware is geïnstalleerd, wordt opdracht gegeven om schadelijke uitvoerbare bestanden te downloaden (meestal een worm, een Trojaans paard of een virus), die vervolgens in de lokale mappen van het netwerk kunnen worden geplaatst. Op dit punt begint de ransomware te werken. Dit kan betekenen dat er bepaalde toegangsrechten worden verworven, met de mogelijkheid bepaalde processen te starten tijdens de opstartprocedure of in de herstelmodus.
In sommige gevallen wordt gebruikgemaakt van escalatie van bevoegdheden om toegang te verkrijgen tot functies die gewoonlijk zijn voorbehouden aan beheerders op hoog niveau. Op die manier kan de malware alle gegevens bekijken en bewerken.
3. Scannen
Vervolgens wordt het hele systeem gescand op gedeelde mappen en bestanden met specifieke extensies. Deze doelwitten zijn vooraf vastgesteld en omvatten waarschijnlijk documentbestanden (PDF, DOC) en cloud- of netwerkopslaggerelateerde software.
Het is best mogelijk dat de malware nog niet door uw bedrijf is opgemerkt, maar in de tussentijd kan deze zich toch al op uw server genesteld hebben en op zoek zijn naar bestanden die kunnen worden gegijzeld in ruil voor losgeld.
4. Versleutelen
In dit stadium van de aanval op een Linux-systeem wordt er een versleutelde versie van de doelbestanden gegenereerd, waarna het origineel wordt verwijderd. Afhankelijk van het gebruikte type versleuteling kan dit onomkeerbaar zijn.
Veel versleutelingsmethoden staan bekend als asymmetrisch, aangezien ze één paar sleutels gebruiken om de gegevens te versleutelen en te ontsleutelen. Gewoonlijk is één sleutel openbaar en zichtbaar, maar de andere is privé en alleen in het bezit van de maker. De ransomware neemt contact op met de server van de cybercrimineel om een publieke sleutel op te halen waarmee het versleutelingsproces kan worden gestart.
Als apparaten op dat moment niet met het netwerk zijn verbonden, wacht de aanvaller totdat de gebruikers weer online zijn om ook hun bestanden te versleutelen.
Gangbare typen versleuteling zijn onder meer:
- AES of Advanced Encryption Standard (Rijndael) is een door het Amerikaanse nationaal instituut voor normen en technologie vastgestelde norm. De sleutels kunnen 128, 192 of 256 bits groot zijn (hoe hoger het getal, des te complexer de versleuteling).
- RSA is een openbare-sleutelsysteem dat in 1977 werd ontwikkeld. De naam is een acroniem van de achternamen van de drie bedenkers: Rivest-Shamir-Adleman. De sleutels zijn doorgaans 1024 of 2048 bits lang, waardoor ze moeilijk te kraken zijn.
5. Eisen
In het laatste stadium maakt de afperser zijn eisen bekend in een losgeldbericht. Dit kan de vorm van een opstartbericht aannemen of van een document op het bureaublad of op de locatie met de versleutelde bestanden. Het losgeldbericht bevat meestal betalingsinstructies. Soms wordt er ook een deadline vermeld of een aftelklok toegevoegd, waardoor het losgeld in de loop van de tijd kan toenemen of de bestanden voorgoed verwijderd dreigen te worden als niet op tijd wordt betaald.
Op dit punt heeft de ransomware zijn taak volbracht.
Soorten Linux-ransomware
Tycoon
Tycoon werd voor het eerst opgemerkt in 2019. Het wordt gewoonlijk gebruikt om kleine en middelgrote ondernemingen en organisaties in het hoger onderwijs aan te vallen. Het kan zowel Linux- als Windows-apparaten infecteren.
Systeemtoegang wordt verkregen via een ZIP-archief dat een schadelijk Java-beeldbestand bevat. Vervolgens wordt er een onbeveiligd RDP-protocol gebruikt om het Java-object uit te voeren, dat het systeem versleutelt en een losgeldbericht achterlaat.
Gewoonlijk moet het losgeld binnen 60 uur worden betaald in bitcoin. In sommige gevallen neemt het bedrag dagelijks toe.
QNAPCrypt
Deze aanval richt zich op Linux-gebaseerde NAS-apparaten (Network-Attached Storage). De verspreiding gebeurt meestal via valse updates en geïnfecteerde bestanden, waaronder ZIP-archieven.
Het ingangspunt van QNAPCrypt zijn fouten in de verificatie van een SOCKS5-proxy (een alternatief voor een VPN dat gegevenspakketten beschermt tijdens de overdracht). De detectiegraad is laag. Zodra een systeem is aangetast, vraagt de malware een bitcoin-portemonnee en een openbare RSA-sleutel op van de server van de hacker, waarna de gegevens van het slachtoffer worden versleuteld.
Zodra de versleuteling is voltooid, wordt een losgeldbericht achtergelaten in de vorm van een tekstbestand. Elk slachtoffer krijgt een unieke bitcoin-portemonnee om het losgeld te betalen. Op die manier hopen de aanvallers detectie te voorkomen.
RansomEXX
RansomEXX (ook bekend als Defrat777) is de afgelopen jaren uitgegroeid tot een van de meest voorkomende vormen van ransomware op Linux-apparaten. Het begon als Windows-malware, maar wordt steeds vaker gebruikt om Linux-servers aan te vallen. Er zijn onder andere aanvallen uitgevoerd op de Braziliaanse overheid, het ministerie van Vervoer in Texas en het universitaire ziekenhuis van Brno in Tsjechië.
Dit type ransomware staat bekend als een "jager op groot wild" en wordt vaak gebruikt om grote organisaties en overheden aan te vallen in een poging om grote sommen losgeld binnen te hengelen. In plaats van meerdere eindpunten aan te vallen, beperkt de malware de toegang tot bestanden op de server. Daarmee vormen Linux-servers een belangrijk doelwit voor dit soort aanvallen.
RansomEXX wordt meestal afgeleverd via een e-mail met een schadelijk Word-document. Wanneer de gebruiker dit opent, wordt er een Trojaans paard gedownload op diens systeem. Daarmee worden bestanden versleuteld en wordt een 256-bits encryptiesleutel gegenereerd. Vervolgens wordt de sleutel elke seconde opnieuw versleuteld.
Erebus
Erebus werd in 2016 voor het eerst gezien op Windows-systemen. Het werd in 2017 voor het eerst tegen Linux-systemen gebruikt in het kader van een geruchtmakende aanval op het Zuid-Koreaanse webhostingbedrijf NAYANA. Daarbij werden 153 Linux-servers en meer dan 3400 bedrijfswebsites getroffen. Het losgeld van 1 miljoen dollar in bitcoins vestigde destijds een record voor het hoogst betaalde bedrag.
Erebus vertrouwt erop dat de gebruiker op schadelijke koppelingen klikt of geïnfecteerde e-mailbijlagen opent. Daarnaast maakt het gebruik van schadelijke software, zoals valse installatieprogramma's, om zich toegang te verschaffen tot systemen.
De ransomware scant een tal van verschillende bestandstypen om te versleutelen, waaronder databases, archieven en documenten. Het gebruikte versleutelingsproces is moeilijk te kraken, omdat het gebruikmaakt van een mix van drie verschillende cryptosystemen (RSA-2048, AES en RC4). Daarnaast verwijdert de ransomware volumeschaduwkopieën van het besturingssysteem, waardoor het herstel verder wordt bemoeilijkt.
KillDisk
KillDisk is een andere ransomwarevariant die zijn leven begon op Windows en pas later werd aangepast aan Linux. De Linux-versie van KillDisk versleutelt elk bestand met een andere set 64-bits encryptiesleutels. Het voorkomt vervolgens dat het systeem wordt opgestart door de bootloader te overschrijven. In plaats daarvan krijgt de gebruiker een schermvullend losgeldbericht te zien waarin betaling in bitcoins wordt geëist.
De Linux-versie van KillDisk verschilt van de Windows-versie: De sleutels die nodig zijn om de gegevens te ontsleutelen worden niet lokaal opgeslagen of naar een server gestuurd tijdens een Linux-aanval. Dit wijst erop dat de encryptietool hoogstwaarschijnlijk is geschreven om zoveel mogelijk schade aan te richten en niet zozeer voor afpersingsdoeleinden. Als er geen encryptiesleutel bestaat, is het onwaarschijnlijk dat de bestanden ooit worden hersteld, ongeacht of het losgeld wordt betaald.
Bescherming tegen Linux-ransomware
Linux-ransomware is een groeiende bedreiging, vooral voor zakelijke gebruikers. Gelukkig kunt u stappen ondernemen om uw bedrijf tegen ransomwareaanvallen te beschermen:
- Installeer regelmatig updates. Alle servers en eindpunten moeten up-to-date worden gehouden. Beveiligingspatches en softwarefixes moeten altijd worden geïnstalleerd zodra ze beschikbaar zijn.
- Zorg voor training op het gebied van cyberbeveiliging voor uw personeel. Om menselijke fouten tot een minimum te beperken, is het van vitaal belang dat al het personeel een basisopleiding cyberbeveiliging volgt. Aan de hand van de cyberbeveiligingsquiz van Avast kunt u bepalen wat uw personeel weet en niet weet, en kunt u zwakke plekken identificeren die met de nodige opleiding kunnen worden verbeterd.
- Beperk de toegangsrechten. Zorg ervoor dat de toegangsrechten voor gebruikersaccounts met behulp van beleid tot een minimum worden beperkt. Iedereen heeft alleen toegang tot de bestanden en toepassingen die hij nodig heeft om zijn werk uit te voeren.
- Maak back-ups van gegevens. Het maken van veilige back-ups is essentieel om de potentiële schade van een aanval tot een minimum te beperken.
- Stel een beveiligingsstrategie op. Bij veel aanvallen worden menselijke fouten uitgebuit om toegang te verkrijgen tot een netwerk. Dit risico kan aanzienlijk worden beperkt door een beveiligingsstrategie in te voeren die onder meer bestaat uit personeelsopleiding, installatie van beveiligingssoftware en toepassing van beste praktijken rondom sterke wachtwoorden, veilig e-mailgebruik en eindpuntbeveiliging.
- Voer regelmatige inspecties en evaluaties van kwetsbaarheden uit. De systemen moeten regelmatig worden gecontroleerd en zorgvuldig geëvalueerd. Hierbij moeten gebeurtenislogboeken worden geïnspecteerd om verdachte activiteiten op te sporen.
- Zorg voor een reactieplan. Elk bedrijf heeft een brandveiligheidsplan. Ook een ransomware-strategie mag niet ontbreken om ervoor te zorgen dat het personeel weet wat het moet doen in geval van een aanval. Het doel is de schade te beperken en een vlot herstel te garanderen.
Lees meer in het artikel Uw Linux-server beveiligen.
Geavanceerde antivirussoftware voor Linux-servers
Hoewel Linux behoort tot de besturingssystemen met de beste beveiliging, volstaat het op zichzelf niet om uw bedrijfsgegevens en server veilig te houden. Gebruik een speciaal programma om de eindpunten en systemen van uw bedrijf te beschermen tegen Linux-malware.