Investigação explora aumento dos ataques de ransomware em sistemas Linux

Num estudo recente realizado pela Check Point Research (CPR), foi feita uma análise aprofundada dos ataques de ransomware em sistemas Linux e Windows, revelando as tendências em evolução das ciberameaças. Como os ataques de ransomware em sistemas Linux, particularmente em sistemas ESXi, registaram um aumento nos últimos anos, a CPR investigou os pormenores destes incidentes, estabelecendo comparações com os ataques em ambientes Windows.

Historicamente, as ameaças de ransomware têm visado predominantemente ambientes Windows. No entanto, o cenário está a evoluir, com o ransomware focado no Linux a ganhar destaque. O estudo da CPR analisou 12 famílias de ransomware importantes que visam diretamente os sistemas Linux ou possuem capacidades multiplataforma, permitindo-lhes infetar indiscriminadamente Windows e Linux.

O lançamento do código-fonte do Babuk em 2021 desempenhou um papel fundamental na proliferação de várias famílias de ransomware. O que distingue o ransomware que visa Linux é a sua relativa simplicidade em comparação com os seus homólogos do Windows. Muitas dessas ameaças focadas em Linux dependem fortemente da biblioteca OpenSSL, com ChaCha20/RSA e AES/RSA a emergir como os algoritmos de criptografia mais comuns nas amostras analisadas.

Examinando a evolução histórica do ransomware, a primeira amostra identificável remonta a 1989, que afetou os sistemas Windows. Só em 2015, com o Linux.Encoder.1, é que o ransomware específico para Linux ganhou força. Apesar da maturidade do ransomware nos sistemas Windows, as capacidades não foram diretamente transferidas para o Linux até aos últimos anos, marcados por um aumento significativo dos ataques desde 2020.

O estudo da CPR revela uma tendência de simplificação entre as famílias de ransomware direcionadas para Linux. As principais funcionalidades reduzem-se frequentemente a processos básicos de encriptação, dependendo fortemente de configurações e scripts externos, o que os torna esquivos e difíceis de detetar. A investigação também destaca estratégias distintas, com especial incidência nos sistemas ESXi, e identifica vulnerabilidades nos serviços expostos como principais vetores de entrada.

O ransomware para Linux diverge significativamente dos que foram concebidos para Windows em termos de alvo e tipologia de vítimas. Enquanto em ambientes Windows é predominante nos computadores pessoais e nas estações de trabalho dos utilizadores, em Linux domina certas implementações de servidores. O ransomware para Linux concentra-se principalmente nos servidores expostos ou nos que estão dentro da rede interna acedidos através de infeções de Windows. Esta orientação indica uma tendência clara, segundo a Check Point Research: o ransomware para Linux é estrategicamente adaptado a organizações de média e grande dimensão, ao contrário das ameaças mais generalizadas colocadas pelo ransomware para Windows. As estruturas internas distintas de ambos os sistemas também influenciam as abordagens dos atacantes à seleção de pastas e ficheiros para encriptação, sendo que as amostras orientadas para Linux evitam frequentemente diretórios críticos para evitar a corrupção do sistema. Isto sublinha a natureza direcionada e sofisticada do ransomware para Linux em comparação com Windows.

Comparando as técnicas de encriptação entre os sistemas Windows e Linux, a CPR revela uma preferência pelo OpenSSL no ransomware para Linux, com o AES como pedra angular da encriptação comum e o RSA como a principal escolha assimétrica. Esta uniformidade entre diferentes agentes de ameaças sublinha a evolução do panorama das ciberameaças.