Conecta con nosotros

A Fondo

Cinco tipos de ataques a Linux que deberían preocupar a las empresas

Publicado el

Linux ha triunfado en las empresas. Y es verdad, no lo ha hecho en el escritorio, pero esto tiene una importancia menor si tenemos en cuenta que más de 80% de los servidores corporativos cuentan con Linux como S.O sobre el que se ejecutan las distintas cargas de trabajo o que el uso de máquinas virtuales basadas en Linux, supera enormemente a las que lo hacen en Windows.

Teniendo esto en cuenta, no es de extrañar que los cibercriminales hayan puesto al S.O del pingüino en su punto de mira, tanto en entornos locales como en grandes despliegues cloud o incluso en el edge, en unos dispositivos IoT que en más de un 95% de las ocasiones suelen apostar por implementar una versión simplificada del kernel de Linux.

Así las cosas, merece la pena reflexionar sobre el tipo de ataques que más deberían de preocupar a las compañías, para que de esta manera, puedan tomar medidas. Podemos en este sentido, hablar de cinco grandes grupos de ataques.

Ataques de ransomware a máquinas virtuales

En los últimos años el ransomware se ha convertido en una de las principales fuentes de ingresos para los grupos cibercriminales. Y no solo actúan de forma indiscriminada a máquinas Windows, sino que cuando de lo que se trata es de atacar los activos de las organizaciones, muchos grupos han comenzado a desarrollar técnicas para encriptar despliegues basados en Linux, que es el sistema operativo que, de forma mayoritaria, se encuentra en los servidores on-premises (también en la nube) de las empresas.

En este espacio destacan grupos como Conti, DarkSide, o REviy normalmente el ataque se produce tras estudiar durante semanas la postura de defensa de su posible víctima. De hecho, antes de proceder a encriptar los archivos y pedir un rescate, este tipo de grupos tratan de comprometer toda la red de la organización, con el objetivo de identificar cualquier vulnerabilidad que pueda ser explotada en ese momento o en el futuro.

Algunos grupos como Conti han comenzado además a atacar las imágenes host Linux para las cargas de trabajo en entornos virtualizados. Están especialmente interesados en el cifrado de imágenes de máquinas virtuales ESXi, lo que puede llegar a impactar de forma significativa sus operaciones.

Cryptojacking

El criptojacking (el hackeo de sistemas con el fin de utilizar los recursos de una máquina para minar criptomonedas) es uno de los ciberataques más populares en los sistemas Linux, ya que permite a los atacantes conseguir un beneficio directo y puede pasar relativamente desapercibido para las víctimas, que en todo caso solo comienzan a preocuparse cuando la pérdida de rendimiento de sus máquinas comienza a ser evidente.

Las familias de malware de minería más utilizadas en este caso son XMRig y Sysrv y según empresas de seguridad como SonicWall, hay una media de 338 ataques de cryptojacking diarios por cada red de clientes. En estos ataques, los hackers suelen utilizar listas de contraseñas por defecto, exploits bash o exploits específicamente diseñados para atacar sistemas mal configurados.

Ataques a dispositivos IoT

La simplicidad de los dispositivos IoT basados en Linux, con algunas excepciones, los convierte en un objetivo atractivo para los hackers y uno de los principales vectores de riesgo a los que pueden enfrentarse las empresas.

Según compañías como CrodwStrike, el número de ataques a dispositivos IoT basados en Linux ha aumentado un 35% con respecto al año anterior.

Además de algunos ataques que buscan comprometer la seguridad de estos dispositivos y encontrar un vector con el comprometer la red, la intención de la mayoría de los grupos cibercriminales es infectar estos dispositivos para sumarlos a redes de bots con los que iniciar ataques de denegación de servicio (DDoS) hacia otros objetivos. Este tipo de infecciones pueden permanecer no solo cuando se reinicializa el dispositivo afectado, sino incluso cuando se reinstala su firmware.

Ataques sin archivos

Desde hace más de un año, algunos investigadores de ciberseguridad están detectando que en muchos ataques se utiliza Ezuri una herramienta de código abierto que se utiliza para cifrar código malicioso.

¿Qué tiene de particular? Una vez infectada la máquina, cuando el código malicioso se descifra, la carga se ejecuta directamente desde la memoria, sin dejar rastro en el disco, lo que dificulta enormemente la detección de este tipo de ataques por parte de una solución de seguridad antivirus.

Muchos de estos ataques desde la memoria, suelen tener entre sus víctimas a sistemas Docker mal configurados, en los que pueden instalar bots DDoS y sistemas de cryptojacking.

Malware Linux en máquinas de Windows

El malware de Linux también puede atacar a las máquinas de Windows a través del Subsistema de Windows para Linux (WSL), una característica que permite que los archivos para Linux se ejecuten en Windows.

Y aunque es cierto que WSL es una característica que debe instalarse manualmente o a través del programa Windows Insider, los atacantes pueden instalarlo ellos mismos si consiguen elevar sus privilegios en el sistema atacado.

Periodista tecnológico con más de una década de experiencia en el sector. Editor de MuyComputerPro y coordinador de MuySeguridad, la publicación de seguridad informática de referencia.

Lo más leído