Sua reputação de segurança significa que o Linux é frequentemente considerado menos vulnerável aos tipos de ameaças que regularmente assolam os sistemas Microsoft Windows. Muito dessa segurança percebida vem do número relativamente baixo de sistemas Linux, mas os cibercriminosos estão começando a ver valor na escolha qualidade acima de quantidade?

O cenário de ameaças do Linux está mudando

Pesquisadores de segurança em empresas como Kaspersky e Blackberry, juntamente com agências federais como a FBI e NSA estão alertando sobre os autores de malware aumentando seu foco no Linux.

O sistema operacional agora é reconhecido como uma porta de entrada para dados valiosos, como segredos comerciais, propriedade intelectual e informações pessoais. Os servidores Linux também podem ser usados ​​como um ponto de preparação para a infecção de redes mais amplas cheias de dispositivos Windows, macOS e Android.

Mesmo que não seja o sistema operacional em execução em seu desktop ou laptop, seus dados provavelmente serão expostos ao Linux mais cedo ou mais tarde. Seu armazenamento em nuvem, VPN e provedores de e-mail, bem como seu empregador, seguradora de saúde, serviços governamentais ou universidade, são quase certamente executando Linux como parte de suas redes, e é provável que você possua ou venha a possuir um dispositivo Internet Of Things (IoT) com Linux agora ou no futuro.

instagram viewer

Várias ameaças foram descobertas nos últimos 12 meses. Alguns são conhecidos malware do Windows portados para o Linux, enquanto outros permaneceram em servidores sem serem detectados por quase uma década, mostrando o quanto as equipes de segurança subestimaram o risco.

Muitos administradores de sistemas podem presumir que sua organização não é importante o suficiente para ser um alvo. No entanto, mesmo que sua rede não seja um grande prêmio, seus fornecedores ou clientes podem ser mais tentadores e obter acesso ao seu sistema, por meio de um ataque de phishing, por exemplo, pode ser um primeiro passo para se infiltrar deles. Então é vale a pena avaliar como você protege seu sistema.

10 ótimas dicas para proteger sua privacidade no Linux

Independentemente de você acreditar que o Linux é o sistema operacional mais seguro, todos os sistemas operacionais apresentam riscos e vulnerabilidades que podem ser explorados. Veja como lidar com eles no Linux.

Malware Linux descoberto em 2020

Aqui está o nosso arredondar para cima das ameaças que foram identificadas no último ano.

Trojan RansomEXX

Os pesquisadores da Kaspersky revelaram em novembro que esse Trojan foi portado para o Linux como um executável. A vítima fica com os arquivos criptografados com uma cifra AES de 256 bits e instruções sobre como entrar em contato com os autores do malware para recuperar seus dados.

A versão do Windows atacou alguns alvos significativos em 2020, incluindo a Konica Minolta, o Departamento de Transporte do Texas e o sistema judiciário brasileiro.

O RansomEXX é feito sob medida para cada vítima, com o nome da organização incluído na extensão do arquivo criptografado e no endereço de e-mail na nota de resgate.

Gitpaste-12

Gitpaste-12 é um novo worm que infecta servidores x86 e dispositivos IoT executando Linux. Seu nome deve-se ao uso do GitHub e do Pastebin para baixar o código e aos seus 12 métodos de ataque.

O worm pode desabilitar o AppArmor, SELinux, firewalls e outras defesas, bem como instalar um minerador de criptomoeda.

IPStorm

Conhecida no Windows desde maio de 2019, uma nova versão desse botnet capaz de atacar o Linux foi descoberta em setembro. Ele desarma o assassino de falta de memória do Linux para se manter em execução e mata os processos de segurança que podem impedi-lo de funcionar.

A edição Linux vem com recursos extras, como o uso de SSH para encontrar alvos, explorar serviços de jogos Steam e rastrear sites pornográficos para falsificar cliques em anúncios.

Ele também tem um sabor para infectar dispositivos Android conectados via Android Debug Bridge (ADB).

Drovorub

O FBI e a NSA destacaram esse rootkit em um aviso em agosto. Ele pode iludir administradores e software antivírus, executar comandos root e permitir que hackers carreguem e baixem arquivos. De acordo com as duas agências, Drovorub é obra do Fancy Bear, um grupo de hackers que trabalha para o governo russo.

A infecção é difícil de detectar, mas atualizar para pelo menos o kernel 3.7 e bloquear módulos de kernel não confiáveis ​​deve ajudar a evitá-la.

Lúcifer

A mineração de criptografia maliciosa Lucifer e o bot distribuído de negação de serviço apareceu pela primeira vez no Windows em junho e no Linux em agosto. A encarnação de Lucifer no Linux permite ataques DDoS baseados em HTTP, bem como sobre TCP, UCP e ICMP.

Penquin_x64

Esta nova cepa da família de malware Turla Penquin foi revelada por pesquisadores em maio. É um backdoor que permite que invasores interceptem o tráfego de rede e executem comandos sem adquirir root.

A Kaspersky descobriu a exploração em execução em dezenas de servidores nos Estados Unidos e na Europa em julho.

Doki

Doki é uma ferramenta de backdoor que visa principalmente servidores Docker mal configurados para instalar mineradores de criptografia.

Embora o malware geralmente entre em contato com endereços IP ou URLs predeterminados para receber instruções, os criadores do Doki configuraram um sistema dinâmico que usa a API de crypto blockchain Dogecoin. Isso torna difícil derrubar a infraestrutura de comando, pois os operadores de malware podem alterar o servidor de controle com apenas uma transação Dogecoin.

Para evitar o Doki, você deve garantir que a interface de gerenciamento do Docker esteja configurada corretamente.

TrickBot

O TrickBot é um Trojan bancário, usado para ataques de ransomware e roubo de identidade, que também mudou do Windows para o Linux. Anchor_DNS, uma das ferramentas usadas pelo grupo por trás do TrickBot, apareceu em uma variação do Linux em julho.

Anchor_Linux atua como um backdoor e geralmente é espalhado por meio de arquivos zip. O malware configura um cron tarefa e contata um servidor de controle por meio de consultas DNS.

Relacionado: Como detectar um e-mail de phishing

Magnata

O cavalo de Tróia Tycoon geralmente é espalhado como um Java Runtime Environment comprometido dentro de um arquivo zip. Os pesquisadores descobriram em junho, rodando nos sistemas Windows e Linux de pequenas e médias empresas, bem como em instituições educacionais. Ele criptografa arquivos e exige pagamentos de resgate.

Cloud Snooper

Este rootkit sequestra o Netfilter para ocultar comandos e roubo de dados entre o tráfego normal da web para contornar firewalls.

Identificado pela primeira vez na nuvem Amazon Web Services em fevereiro, o sistema pode ser usado para controlar malware em qualquer servidor atrás de qualquer firewall.

PowerGhost

Também em fevereiro, pesquisadores da Trend Micro descobriram que o PowerGhost deu o salto do Windows para o Linux. Este é um minerador de criptomoedas sem arquivo que pode reduzir a velocidade do seu sistema e degradar o hardware devido ao aumento do desgaste.

A versão Linux pode desinstalar ou eliminar produtos anti-malware e permanecer ativa usando uma tarefa cron. Ele pode instalar outro malware, obter acesso root e se espalhar por redes usando SSH.

FritzFrog

Desde que esse botnet ponto a ponto (P2P) foi identificado pela primeira vez em janeiro de 2020, mais 20 versões foram encontradas. As vítimas incluem governos, universidades, centros médicos e bancos.

Fritzfrog é um malware sem arquivo, um tipo de ameaça que vive na RAM em vez de no seu disco rígido e explora vulnerabilidades em softwares existentes para fazer seu trabalho. Em vez de servidores, ele usa P2P para enviar comunicações SSH criptografadas para coordenar ataques em diferentes máquinas, atualizar-se e garantir que o trabalho seja distribuído uniformemente pela rede.

Embora não tenha arquivo, o Fritzfrog cria um backdoor usando uma chave SSH pública para permitir o acesso no futuro. As informações de login das máquinas comprometidas são salvas na rede.

Senhas fortes e autenticação de chave pública oferecem proteção contra esse ataque. Alterar sua porta SSH ou desligar o acesso SSH se você não estiver usando também é uma boa ideia.

FinSpy

FinFisher vende FinSpy, associado à espionagem de jornalistas e ativistas, como uma solução de vigilância de prateleira para governos. Visto anteriormente no Windows e no Android, a Anistia Internacional descobriu uma versão do Linux do malware em novembro de 2019.

FinSpy permite a interceptação de tráfego, acesso a dados privados e a gravação de vídeo e áudio de dispositivos infectados.

Chegou ao conhecimento público em 2011, quando os manifestantes encontraram um contrato para a compra do FinSpy nos escritórios do brutal serviço de segurança egípcio após a derrubada do presidente Mubarak.

É hora de os usuários do Linux começarem a levar a segurança a sério?

Embora os usuários do Linux possam não ser tão vulneráveis ​​a tantas ameaças de segurança quanto os usuários do Windows, não há dúvida o valor e o volume dos dados mantidos pelos sistemas Linux estão tornando a plataforma mais atraente para os cibercriminosos.

Se o FBI e a NSA estiverem preocupados, os empresários em nome individual ou pequenas empresas que executam Linux devem começar a pagar mais atenção à segurança agora, se quiserem evitar se tornarem danos colaterais durante futuros ataques a grandes organizações.

Aqui estão os nossos pontas para se proteger da lista crescente de malware Linux:

  • Não execute binários ou scripts de fontes desconhecidas.
  • Instale o software de segurança como programas antivírus e detectores de rootkit.
  • Tenha cuidado ao instalar programas usando comandos como curl. Não execute o comando até que você entenda completamente o que ele fará, comece sua pesquisa de linha de comando aqui.
  • Aprenda a configurar seu firewall corretamente. Ele deve registrar todas as atividades da rede, bloquear portas não utilizadas e, geralmente, manter sua exposição à rede ao mínimo necessário.
  • Atualize seu sistema regularmente; definir atualizações de segurança para serem instaladas automaticamente.
  • Certifique-se de que suas atualizações estão sendo enviadas por conexões criptografadas.
  • Habilite um sistema de autenticação baseado em chave para SSH e senha para proteger as chaves.
  • Use autenticação de dois fatores (2FA) e manter as chaves em dispositivos externos, como um Yubikey.
  • Verifique os registros em busca de evidências de ataques.
O email
5 ferramentas de segurança que você deve ter no Linux

Desde o início, o Linux é bastante seguro, especialmente quando comparado a outros sistemas operacionais como macOS ou Windows. Mesmo assim, é bom desenvolver isso, começando com essas ferramentas.

Tópicos relacionados
  • Linux
  • Linux
  • Malware
Sobre o autor
Joe McCrossan (7 artigos publicados)

Joe McCrossan é um escritor freelance, solucionador de problemas de tecnologia voluntário e reparador de bicicletas amador. Ele gosta de Linux, código aberto e todos os tipos de inovação mágica.

Mais de Joe McCrossan

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas técnicas, análises, e-books grátis e ofertas exclusivas!

Mais um passo…!

Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.

.