7 malwares que infectam servidores Linux


O Ransomware decidiu infectar servidores Linux, especialmente os servidores web !


Todos nós sabemos que o Linux é um sistema operacional de código aberto que é muito versátil devido ao grande grupo de voluntários que o mantêm e o atualizam.

7-malwares-que-infectam-servidores-linux

Eu conheço uma variedade imensa de distribuições Linux voltadas para diferentes propósitos e preferências.

Algumas distribuições são criadas para tarefas específicas como música, design, proteção de privacidade, ou firewall.

Ainda existe uma série de opções que estão disponíveis para sistemas operacionais de desktop e servidor. Na minha opinião essa diversidade toda acaba confundindo o usuário, mas isso vai para um próximo artigo.

É claro que o Linux existe há décadas, porém só possui cerca de 2,36% de utilização do mercado de sistemas operacionais desktop.

Já no lado servidor, o Linux é um dos sistemas operacionais mais utilizados em servidores, com cerca de 11% dos servidores de todo o mundo utilizando Linux, e 35% dos servidores web também utilizando Linux.

Eu uso Linux a muito tempo, acho que desde o final dos anos 90, naquela época eu já achava que o linux era bem semelhante ao "Mac OS", mas ainda acho que a segurança do sistema operacional Linux merece cuidados...

Hoje, ambos os sistemas operacionais digo o Mac e Linux, reivindicam uma parcela de mercado menor que o Microsoft Windows e possuem menos ataques de ransomware visando o sistema operacional. Eu acho que isto está mudando !

Não vim aqui falar sobre segurança Linux vs Windows, ou porque o linux é considerado seguro ou inseguro, este artigo é apenas uma constatação do que vem acontecendo em todo o mundo.

Temos que convir que é mais fácil para cibercriminosos efetuar o melhor golpe da maneira mais fácil, e é claro que eles visam plataformas que são dominantes no mercado.







Lamento informar que isso não significa que o Linux seja imune as ameaças por ransomware. Uma vez que o Linux é mais utilizado para servidores web do que em desktops, a maioria dos ataques a Linux por ransomware é projetado especificamente para explorar servidores web Linux e criptografar arquivos do servidor web.

Quais são os 7 malwares que mais infectam servidores Linux ?


Ransomware Erebus:
Erebus é uma forma de ransomware que infecta máquinas Linux através de publicidade maliciosa, também conhecido como malvertising, ou através de vulnerabilidades do sistema. O Erebus é capaz de criptografar mais de 433 tipos de arquivos, porém foi projetado para infectar servidores da Web e dados respectivos ao servidor como arquivos HTML, Java e PHP.

O Erebus criptografa os dados com uma chave AES que é exclusiva para cada arquivo e os renomeia com a extensão .ecrypt. As chaves AES são então criptografadas com um algoritmo de criptografia RSA-2048 bit. O Erebus inicia um falso serviço Bluetooth que reiniciará o ransomware se o servidor for reiniciado ou se o ransomware estiver desativado.

O Erebus normalmente exige .085 bitcoins e ameaça excluir arquivos dentro de 96 horas se o resgate não for pago.

No entanto, o resgate exigido durante um recente ataque na empresa de hospedagem sul-coreana NAYANA foi de cerca de 4 bitcoins cada um para os 153 servidores infectados pelo Erebus.

A demanda total foi de US$ 1,62 milhões, e a NAYANA acertou com os cibercriminosos cerca de US$ 1 milhão, de acordo com relatórios. Uau !!!

 Procurando por suporte especializado e barato ?

Ransomware Linux.Encoder: 
O Linux.Encoder é um vírus ransomware que visa sistemas de hospedagem web baseados em Linux, como Magento, cPanel e Ajenti.

O Linux.Encoder criptografa arquivos no diretório em que é executado e, em seguida, prossegue criptografando diretórios da Web como / home, / root, / var / lib / mysql, / var / www, / etc / nginx, / etc / apache2, e / var / log.

Em seguida, criptografa todos os arquivos restantes que têm public_html, www, webapp, backup.git ou .svn no nome. Coisa fina não é ?

O Linux.Encoder é distribuído dentro de um arquivo chamado general.rtf e tem de ser executado com privilégios administrativos.

Uma vez que a criptografia seja concluída, o ransomware exibe um arquivo chamado README_FOR_DECRYPT.txt, exigindo um resgate de 1 bitcoin. O Linux.Encoder é a versão Linux do KeRanger, que visa usuários de Mac .

Ransomware Encryptor RaaS: 
O Encryptor RaaS é uma ferramenta Ransomware como serviço (RaaS - Ransomware as a Service) que permitiu que cibercriminosos utilizassem um portal da Web sobre Tor para gerenciar resgates.

O Ransomware Encryptor RaaS pode infectar uma variedade de sistemas operacionais, incluindo o Linux. O Encryptor RaaS tornou-se indisponível sem mais nem menos quando as autoridades descobriram um Encryptor RaaS hospedado em serviços legais de nuvem.

As autoridades fecharam os servidores de nuvem, e o autor removeu os arquivos imediatamente. Infelizmente nem todas as outras infecções do Encryptor RaaS foram descriptografadas.

Ransomware KillDisk:
O KillDisk que vem mascarado como ransomware, é apenas uma forma de malware destrutivo. 

O KillDisk criptografa arquivos usando criptografia AES e adiciona  DoN0t0uch7h!$CrYpteDfilE ao final de cada arquivo.

O ransomware modifica o carregador de inicialização GRUB para exibir uma mensagem de texto pedindo resgate de 222 bitcoins. No entanto, as vítimas que pagam o resgate não conseguem recuperar seus dados. Eu acho sempre melhor não negociar com cibercriminosos.

 Recomendamos o provedor SpiderMail

Ransomware Rex:
O ransomware Rex é um outro vírus que visa servidores web Linux. Ele utiliza scanners de vulnerabilidade específicos para plataformas de publicação como o Drupal, WordPress, Magento, Kerner, Airos, Exagrid e Jetspeed para detectar vulnerabilidades de injeção de SQL que ele pode explorar para obter credenciais de administrador.

O ransomware Rex bloqueia postagens de blog e modifica o site da vítima para indicar que o site está bloqueado até que 1.4 bitcoins sejam pagos.

O Rex aumenta o valor do resgate com o passar do tempo e ameaça tornar o servidor vulnerável a outros ataques até que o resgate seja pago.

Ransomware FairWare:
O ransomware FairWare é um ransomware que visa servidores web Linux e exige um resgate de 2 bitcoins.

O FairWare exclui o conteúdo da pasta www para tirar o site do ar tornando-o offline. O ransomware informa as vítimas que perderão seus dados inteiramente se não pagarem dentro de duas semanas o resgate exigido, senão dados confidenciais poderão ser divulgados ao público.







Ransomware KimcilWare:
O ransomware KimcilWare é outro ransomware Linux que visa a plataforma Magento. Ele criptografa arquivos usando a criptografia Rijndael e depois renomeia as extensões dos arquivos para .kimcilware.

Os resgate KimcilWare variam de 1-5 bitcoins dependendo da versão do KimcilWare que infecta a máquina servidor ou desktop.

Meu conselho:
Certifique-se de que os patches do servidor web sejam mantidos atualizados, e as alterações de configuração de segurança recomendadas pelo fornecedor sejam feitas de imediato. Também assegure-se de que todos os dados críticos sejam copiados de um provedor confiável que possua soluções de backup e recuperação de desastres.

Use também algumas ferramentas de segurança do Linux e também use um antivirus para Linux !

Conclusão:
Nós usuários de Linux devemos estar preparados para lidar com Ransomware, especialmente se estivermos usando um servidor web baseado em Linux. Aproveite e leia o artigo: Como defender-se de 5 ataques cibernéticos que complementa este artigo.

Fonte deste artigo: Fight Ransomware

Gostou do artigo ? Comente, curta e compartilhe !

Nenhum comentário :

Postar um comentário

Por favor, evite palavras de baixo calão, ou qualquer tipo de ofensas. Seja construtivo ao comentar !