Ransomware é uma das piores ameaças cibernéticas que existem hoje, além disso, existem vários diferentes tipos de ransomware , mas todos eles são voltados para sequestrar todos os seus dados para que você pague um resgate. Esse tipo de malware afeta qualquer sistema operacional, embora muitos dos ataques tenham como alvo Windows sistemas operacionais, também existem muitos que visam infectar um Linuxbaseado em sistema operacional, portanto, se você usa Linux, não está a salvo dessa ameaça. Se você já foi infectado por ransomware, nossa recomendação é que você tente recuperar os arquivos criptografados ou criptografados, mas nunca deve pagar o resgate dos criminosos cibernéticos.
Ransomware e o sistema operacional Linux
O sistema operacional Linux tem uma participação de mercado muito baixa em sistemas desktop, ou seja, em computadores desktop ou laptops que usamos regularmente, seja para lazer ou trabalho. Este sistema operacional pode ser encontrado sobretudo em servidores, em NAS e até mesmo no sistema operacional que utiliza a “nuvem” para processar todos os dados de usuários e clientes. Os cibercriminosos sabem que, se conseguirem infectar um servidor Linux ou NAS, os administradores provavelmente pagarão um resgate se não tiverem todos os dados armazenados em backup. Isso torna os sistemas Linux um dos principais alvos de qualquer cibercriminoso, pois o saque pode ser muito lucrativo para deixar escapar.
Nos últimos anos, surgiram dezenas de ransomwares que afetam os sistemas Linux, seus principais alvos são servidores e NAS, para obter acesso root explorando diferentes vulnerabilidades e criptografando todos os dados para exigir um resgate. Por exemplo, no passado, houve incidentes de ransomware em grandes marcas de NAS, que foram expostas à Internet e o que os cibercriminosos estavam fazendo era explorar uma vulnerabilidade não resolvida no sistema, uma vez que estavam no sistema operacional como root. , eles poderiam não apenas criptografar os dados, mas também apagar os instantâneos que fizemos e até mesmo executar tarefas de backup para “esmagar” os backups que fizemos anteriormente.
Outro aspecto muito importante é que esse malware Linux também pode atingir máquinas Windows. Devemos ter em mente que as versões mais recentes do Windows, Windows 10 e Windows 11, possuem o Windows Subsystem for Linux (WSL), para que você possa executar binários do Linux nativamente no sistema operacional. Se já o tivermos instalado e formos infectados, eles poderão criptografar todos os dados em nosso sistema Windows. No caso de não tê-lo instalado, se eles aproveitarem uma vulnerabilidade e entrarem no sistema Windows, poderão instalar manualmente o WSL para posteriormente executar o ransomware em questão.
Por fim, também devemos estar muito atentos aos ataques direcionados especificamente ao Docker e ao Kubernetes expostos à Internet. As implantações podem ser abertas para o mundo e, se um Docker for comprometido, isso poderá afetar o restante dos Dockers e até mesmo o sistema de arquivos do servidor real, tudo depende de como ele está configurado no nível da rede e também com os volumes. arquivos virtuais que passamos para o container.
O que posso fazer para proteger meu Linux de ransomware?
A primeira coisa que você deve fazer é planejar seus backups corretamente. Você deve aplicar a política de backup 3-2-1 o quanto antes, ou seja, fazer três cópias de backup, em dois locais diferentes para adicionar redundância de dados, e uma das cópias que está offline em um disco rígido, ou seja, que não conectado à Internet. Depois de ter feito uma boa política de backup, é muito importante verificar se esses backups estão funcionando corretamente.
Depois de certificar-se de ter uma boa política de backup e restauração em vigor, você deve fazer as seguintes recomendações e proteger o Linux:
- Não exponha nenhum serviço diretamente à Internet. Se for necessário expor algum serviço, execute o hardening para mitigar ao máximo as falhas de segurança.
- Configure corretamente o firewall. Se o seu negócio está orientado para a Espanha, bloqueie o resto dos países.
- Configure o IDS/IPS para evitar possíveis intrusões no sistema, é mais uma adição de segurança.
- Se você for acessar remotamente via SSH, é melhor configurar primeiro um servidor VPN e depois conectar ao SSH, ou pelo menos configurar SSH como seguro quanto possível.
- Projete uma boa política de log e envie-os para um servidor remoto para mantê-los seguros.
- Habilite o SELinux ou AppArmor para adicionar outra camada de segurança a todos os processos.
Como você pode ver, o ransomware afeta igualmente o Windows e o Linux, portanto, é muito importante que você configure seu Linux corretamente e o proteja bem, para mitigar esse tipo de ataque perigoso.
