È sempre stato detto questo Linux era un sistema invulnerabile, che non c'erano virus e che è molto più sicuro di altre alternative, come Windows o macOS. Tuttavia, se è vero che questo sistema ci offre un plus di sicurezza rispetto ai suoi rivali, è ben lungi dall'essere la roccaforte che molti vantano. E non solo a causa di virus che possono colpirlo direttamente, ma anche a causa di malware remoti, che attaccano direttamente programmi o protocolli, contro i quali non possiamo fare nulla. E questo è ciò che il nuovo RapperBot lo fa.
RapperBot è una nuova botnet in funzione da metà giugno di quest'anno. Questo malware è specializzato nell'esecuzione di attacchi di forza bruta sul protocollo SSH di tutti i tipi di server Linux. Con questo, mira a stabilire una connessione con il computer, accedervi ed essere in grado sia di accedere ai dati archiviati sul server che di spostarsi in rete alla ricerca di altri computer.
Questo nuovo malware si basa su Mirai, un trojan che da alcuni anni infetta decine di migliaia di dispositivi Linux per creare una delle più grandi reti di computer per noleggiarla al miglior offerente per tutti i tipi di attacchi informatici. Tuttavia, sebbene basato su di esso, RapperBot è in qualche modo diverso in quanto gli hacker hanno un maggiore controllo sulla sua espansione e non cerca di concentrarsi sulla conduzione di attacchi DDoS, ma sulla connessione remota ai computer e sul movimento laterale all'interno di una rete. rete.
Gli hacker controllano questa botnet tramite un pannello C2. In questo modo possono indicare target, e inviare liste di utenti SSH per testare, con forza bruta, quale permette la connessione. È in grado di connettersi a qualsiasi server SSH con Scambio di chiavi Diffie-Hellmann con chiavi a 768 o 2048 bit e crittografia AES128-CTR.
In appena un mese e mezzo, questo malware ha scansionato e attaccato più di 3,500 indirizzi IP. E sembra, inoltre, che sia più vivo che mai.
Come mitigare questi attacchi
Gli attacchi di forza bruta non si basano su un difetto di sicurezza in un programma o protocollo, quindi non possiamo aspettarci che una patch magica ci protegga improvvisamente. Pertanto, non c'è modo di proteggerci completamente da questa minaccia, ma ciò che dobbiamo fare è mitigarne l'impatto e impedirci di essere la prossima vittima.
Per fare questo, la prima e più ovvia cosa è che, se non utilizziamo SSH, dobbiamo disattivare il servizio sul nostro Linux. Questo ci impedirà di connetterci da remoto al sistema, ma allo stesso tempo garantisce che non cadremo nelle grinfie di questi hacker. Un altro modo possibile per proteggerci è configurare la sicurezza su bloccare le connessioni dopo un numero limitato di tentativi . Quindi, ad esempio, se le connessioni vengono bloccate dopo 10 tentativi falliti per 10 minuti, gli attacchi di forza bruta diventano inefficaci.
Altri suggerimenti per mitigare l'impatto del malware sono quelli tipici, come non utilizzare utenti predefiniti, utilizzare password lunghe, casuali e complesse e modificare la porta predefinita.
