Los ciberdelincuentes están en constante evolución y ya se encuentran desarrollando herramientas maliciosas para servidores Linux y sistemas de virtualización. Según un análisis realizado por Trend Micro, «los servidores Linux están cada vez más bajo el fuego de los ataques de ransomware», con un aumento del 75% en las detecciones en el transcurso del último año, ya que los ciberdelincuentes buscan expandir sus ataques más allá de los sistemas operativos Windows.

La motivación que hay detrás de estos ataques es muy clara: la popularidad del código abierto y la virtualización está en aumento, lo que significa que cada vez hay más servidores que ejecutan Linux o VMWare ESXi. Estos suelen almacenar una gran cantidad de información crítica que, si se cifra, puede paralizar al instante las operaciones de una empresa. Además, dado que la seguridad de los sistemas Windows ha sido tradicionalmente el centro de atención, el resto de los servidores están demostrando ser una presa fácil.

Uno de los recientes ataques conocidos contra Linux y ESXi es el ocurrido en febrero del 2023 donde muchos propietarios de servidores VMware ESXi se vieron afectados por el brote de ransomware ESXiArgs. Aprovechando la vulnerabilidad CVE-2021-21974, los atacantes deshabilitaron las máquinas virtuales y cifraron los archivos .vmxf, .vmx, .vmdk, .vmsd y .nvram. Otro ejemplo es el de una nueva versión del ransomware BlackBasta, el cual está diseñada especialmente para ataques a hipervisores ESXi. La estrategia de cifrado utiliza el algoritmo ChaCha20 en el modo de múltiples subprocesos que involucra múltiples procesadores y dado que las granjas ESXi suelen ser multiprocesador, este algoritmo minimiza el tiempo necesario para cifrar todo el entorno.

Para penetrar en servidores Linux, generalmente hay que explotar vulnerabilidades. Los atacantes pueden convertir estas vulnerabilidades en armas dentro del sistema operativo, los servidores web y otras aplicaciones básicas, así como en las aplicaciones corporativas, las bases de datos y los sistemas de virtualización. Las vulnerabilidades en los componentes de código abierto requieren una atención especial debido a que después de una infracción inicial, muchas cepas del ransomware utilizan trucos o vulnerabilidades adicionales para elevar los privilegios y cifrar el sistema.

Fuente: https://blog.segu-info.com.ar/2023/04/el-ransomware-apunta-sistemas-de.html