Linux-løsepengevirus: slik beskytter du bedriften
Å beskytte bedriften mot løsepengevirus er en utfordring, spesielt når man bruker flere operativsystemer som alle har ulike nivåer av sikkerhet og risiko. De ansatte bruker ofte en kombinasjon av Windows, macOS, Linux og mobile operativsystemer, så det kan være vanskelig å sørge for et gjennomført sikkerhetsnivå i bedriften.
Denne artikkelen gjelder løsepengevirus på Linux. Den beskriver hva det er, forskjellige typer løsepengevirus som har Linux-enheter som mål og hva bedriften kan gjøre for å beskytte seg mot denne trusselen.
Prøv Avast Business Hub GRATIS i 30 dager
Få sikkerhet på storbedriftsnivå, uansett størrelse på virksomheten. Last ned Avast Business Hub, og prøv den risikofritt i 30 dager.
Hva er Linux-løsepengevirus?
På generell base er Linux-løsepengevirus en type skadelig programvare som kan angripe systemer med Linux-operativsystemer (inkludert distribusjoner som Ubuntu og Debian). Denne typen angrep infiltrerer enheter eller nettverk, finner viktige dokumenter og krypterer dem. Ofte oppdages ikke angrepet før det blir vist en melding som forlanger betaling for å låse opp de krypterte filene. Dette er skremmende for en privatperson, men for en bedrift kan det forårsake ubotelig skade på driften og kundenes tillit.
Er Linux trygt?
Selv om Linux er kjent for å ha sterke sikkerhetsmekanismer, noe som gjør det til et populært alternativ for bedriftsservere, er virkeligheten at ingen operativsystemer er helt trygge mot angrep fra skadelig programvare. Skadelig programvare er ofte utformet slik at menneskelig svikt er årsaken til sikkerhetsbruddet. Det kan skje via phishing, svake passord eller manglende oppdateringer av operativsystemer eller programvare.
Det positive for brukere av Linux er at sikkerhetsoppdateringer er regelmessige og generelt effektive, slik at systemene får den best tilgjengelige sikkerheten for operativsystemer.
En annen fordel er at Linux automatisk tildeler begrensede tilgangstillatelser. Det betyr at hvis hackere får tilgang til en brukerkonto, er det mindre sannsynlig at de vil klare å få tilgang til sikre data eller administratorkontroll.
Windows- og Mac-operativsystemer er mer utbredt enn Linux, men ondsinnede aktører vet at Linux blir mer og mer populært som operativsystem på bedriftsservere. Hvis hackere får tilgang til et Linux-system, er det derfor større sannsynlighet for at de kommer inn på en server enn et enkelt endepunkt. Det er altså viktig at bedrifter som bruker Linux ikke blir for selvsikre: de må bruke antivirusprogramvare for å redusere risikoen for angrep.
Løsepengevirus på Linux: hva skjer?
Linux-løsepengevirus er en økende bekymring for bedrifter som bruker Linux-servere. Det er viktig å forstå prosessen for å kunne oppdage mistenkelig nettverksaktivitet og andre faresignaler. Tilnærmingen til angriperne varierer, men vi ser her på noen typiske trinn i et angrep med løsepengevirus på Linux.
1. Utnyttelse av sårbarheter
Linux-løsepengevirus er som regel avhengige av å finne sårbarheter for å kunne få tilgang til et nettverk og spre seg. Det kan være så enkelt som en systemprosess som ikke er oppdatert eller en feil i en tjeneste. Slike sårbarheter påvirker ikke nødvendigvis daglig bruk, så de kan forbli uoppdagede.
Noen typer Linux-løsepengevirus bruker skannere for å oppdage sårbarheter som SQL-injisering, som kan åpne for administratortilgang. Det svært viktig å installere oppdateringer og rettelser for å sørge for at kjente sårbarheter fikses.
2. Konfigurering
Når løsepengeviruset er inne, ber det om nedlasting av skadelige, kjørbare filer (ofte en orm, en trojaner eller et virus) som kan plasseres i lokale kataloger på nettverket. På dette stadiet vil det begynne å fungere. Det kan gi seg selv visse tilgangstillatelser og mulighet til å kjøre ved oppstart eller i gjenopprettingsmodus.
I noen tilfeller benytter løsepengeviruset seg av eskalering av rettigheter for å få tilgang til funksjoner som vanligvis bare brukes av administratorer med høyt sikkerhetsnivå. Slik omgåelse betyr at den skadelige programvaren kan lese og redigere alle data.
3. Skanning
Løsepengeviruset skanner systemet etter delte mapper og filer med bestemte filtyper. Disse målene er forhåndsbestemt og omfatter som regel dokumentfiler (PDF, DOC etc.) og programvare som er tilknyttet lagring i nettskyen eller på nettverket.
Den skadelige programvaren har kanskje ennå ikke blitt oppdaget av bedriften, men den kan allerede ha etablert seg på serveren og funnet filer den vil ta som gissel.
4. Kryptering
I dette trinnet av et angrep på et Linux-system oppretter løsepengeviruset en kryptert versjon av målfilene og fjerner originalene. Dette kan gjøre det umulig å gjenopprette filene, avhengig av krypteringsmetoden som brukes.
Mange krypteringsmetoder er såkalt asymmetriske, siden de bruker nøkkelpar til å kryptere og dekryptere dataene. En nøkkel er offentlig og synlig, mens den andre er privat og bare kjent av den som opprettet den. Løsepengeviruset kontakter den nettkriminelles server for å hente en offentlig nøkkel til å starte krypteringsprosessen.
Hvis det ikke er enheter tilkoblet nettverket på dette tidspunktet, venter angriperen til brukerne kobler seg til igjen og krypterer så filene deres også.
Vanlige krypteringstyper kan være:
- AES – standarden Advanced Encryption Standard (Rijndael) ble laget av U.S. National Institute of Standards and Technology. Nøklene kan ha 128, 192 eller 256 biter (jo høyere antall, desto mer kompleks kryptering).
- RSA – er et system med offentlige nøkler som ble opprettet i 1977. Navnet er et akronym for de tre skaperne: Rivest-Shamir-Adleman. Nøklene har som regel 1024 eller 2048 biter og er derfor vanskelige å knekke.
5. Krav
Det siste trinnet er å forlange løsepenger ved å legge igjen et krav. Det kan være en melding som vises på skjermen ved oppstart eller et dokument plassert på skrivebordet eller der de krypterte filene er. Kravet inneholder vanligvis instruksjoner om betaling. Noen setter også en tidsfrist eller starter en nedtelling som øker løsepengekravet gradvis eller truer med sletting av filer hvis betaling ikke skjer i tide.
På dette stadiet har løsepengeviruset fullført oppgaven sin.
Typer Linux-løsepengevirus
Tycoon
Tycoon ble oppdaget første gang i 2019. Det brukes ofte til å angripe små og mellomstore bedrifter og institusjoner for høyere utdanning. Det kan infisere både Linux- og Windows-enheter.
Tilgang til systemet oppnås ved hjelp av et ZIP-arkiv som inneholder en skadelig Java-fil. En usikret protokoll for eksternt skrivebord brukes så til å kjøre Java-objektet, som krypterer systemet og legger igjen et løsepengekrav.
Angriperne gir som oftest en tidsfrist på 60 timer for å betale med bitcoin. I noen tilfeller øker beløpet hver dag.
QNAPCrypt
Dette angrepet fokuserer på Linux-baserte nettverkstilkoblede lagringsenheter (NAS). Distribusjonen foretas vanligvis med falske oppdateringer og infiserte filer, inkludert ZIP-arkivfiler.
QNAPCrypt kommer seg inn med feilaktig autentisering av en SOCKS5-proxy (et alternativ til VPN som beskytter datapakker under overføring) og oppdages sjelden. Når et system er utsatt for et brudd, ber den skadelige programvaren om en bitcoin-lommebok og en offentlig RSA-nøkkel fra hackerens server før den krypterer offerets data.
Når krypteringen er fullført, legges det igjen et løsepengekrav i en tekstfil med filtypen TXT. Hvert offer får tildelt en egen bitcoin-lommebok som løsepengene skal betales til, slik at angriperne unngår å bli identifisert.
RansomEXX
RansomEXX (også kjent som Defrat777) har blitt et av de vanligste løsepengevirusene på Linux de siste årene. Det begynte som skadelig programvare på Windows, men det har i økende grad blitt brukt til å angripe Linux-servere. De meste kjente bruddene har skjedd brasilianske myndigheter, transportdepartementet i Texas og universitetssykehuset i Brno i Tsjekkia.
Denne typen løsepengevirus er kjent som «storviltjegere» fordi de brukes til å angripe store organisasjoner og statlige organer for å forsøke å presse til seg store løsepengeutbetalinger. I stedet for å angripe mange endepunkter, går den skadelig programvaren direkte på servere og blokkerer tilgangen til filer ved kilden, noe som gjør Linux-servere til et hovedmål for slike angrep.
RansomEXX leveres som regel i e-post som inneholder et skadelig Word-dokument. Når dokumentet åpnes, lastes en trojaner ned på brukerens system og begynner å kryptere filer og genere en 256-biters krypteringsnøkkel. Nøkkelen krypteres på nytt hvert sekund.
Erebus
Erebus ble oppdaget i 2016 på Windows. Det ble brukt mot Linux-systemer for første gang i 2017 til et høyprofilert angrep på den sørkoreanske nettjenesteleverandøren NAYANA. 153 Linux-servere og flere enn 3400 bedrifter ble berørt. Løsepengene på en million dollar utbetalt i bitcoin satte ny rekord for største løsepengesum den gangen.
Erebus aktiveres ved at en bruker klikker på en skadelig kobling eller åpner et infisert e-postvedlegg. Det kan også få tilgang til systemer ved hjelp av skadelig programvare, for eksempel falske installasjonsprogrammer.
Løsepengeviruset skanner etter mange ulike filtyper å kryptere, inkludert databaser, arkivfiler og dokumenter. Krypteringen som brukes er vanskelig å knekke, siden den bruker en blanding av tre ulike krypteringssystemer (RSA-2048, AES og RC4). Løsepengeviruset sletter også volumskyggekopier av operativsystemet, slik at gjenoppretting blir enda vanskeligere.
KillDisk
KillDisk er et annet løsepengevirus som startet på Windows før det ble tilpasset til Linux. Linux-versjonen av KillDisk krypterer hver enkelt fil med et ulikt sett med 64-biters krypteringsnøkler. Det hindrer deretter systemet i å starte på nytt ved å overskrive oppstartsinformasjonen, og brukeren ser i stedet et løsepengekrav som dekker hele skjermen og ber om betaling i bitcoin.
Linux-versjonen av KillDisk skiller seg fra Windows-varianten. Nøklene som kreves for å dekryptere data lagres ikke lokalt og sendes ikke til en server ved angrep på Linux, så krypteringsverktøyet ble mest sannsynlig laget for å ødelegge i stedet for å drive med utpressing. Hvis det ikke finnes en krypteringsnøkkel er det små sjanser for å gjenopprette filene selv hvis løsepenger betales.
Beskyttelse mot Linux-løsepengevirus
Linux-løsepengevirus er en økende trussel, spesielt for bedrifter. Dette er noen tiltak som bør gjøres for å beskytte bedriften mot angrep med løsepengevirus:
- Installer oppdateringer regelmessig. Alle servere og endepunkter bør holdes oppdatert. Sikkerhetsoppdateringer og rettelser for programvare må alltid installeres så snart de gjøres tilgjengelig.
- Gi ansatte opplæring i datasikkerhet. Menneskelige feil bør reduseres, og det betyr at de ansatte må ha opplæring i datasikkerhet. Avast Cybersecurity Quiz kan bidra til å få en forståelse for de ansattes kjennskap og avdekke svake punkter som kan forbedres med opplæring.
- Begrens tilgangstillatelser. Bedrifter bør ha policyer for å holde brukerkontotillatelser til et minimum. Alle ansatte bør ha tilgang bare til filer og programmer som er nødvendige for å utføre jobben.
- Sikkerhetskopier data. Det er helt avgjørende å ha sikkerhetskopier av data for å redusere skadepotensialet ved angrep.
- Lag en sikkerhetsstrategi. Mange angrep er avhengige av menneskelig feil for å få tilgang til et nettverk. Risikoen kan reduseres betydelig ved å implementere en sikkerhetsstrategi som omfatter opplæring, bruk av sikkerhetsprogramvare og beste praksis for sterke passord, trygg e-post og endepunktssikkerhet.
- Utfør regelmessige inspeksjoner og sårbarhetsvurderinger. Systemene må overvåkes og vurderes nøye med jevne mellomrom. Hendelseslogger bør gjennomgås som en del av denne prosessen, for å oppdage mistenkelig aktivitet.
- Ha en beredskapsplan. På samme måte som en bedrift må ha en brannsikkerhetsplan, bør en strategi mot løsepengevirus være på plass for å sørge for at de ansatte vet hva de skal gjøre ved angrep. Målet er å redusere skadeomfanget og sørge for problemfri gjenoppretting.
Finn ut mer i artikkelen om å sikre Linux-servere.
Avansert antivirus for Linux-servere
Selv om Linux er blant de beste operativsystemene når det gjelder sikkerhet, er det ikke tilstrekkelig for å holde bedriftens data og servere trygge og sikre. Beskytt bedriften med egen programvare på Linux for å sikre endepunktene.