I sistemi Linux gestiscono molte delle operazioni più critiche, compresa una buona parte delle infrastrutture critiche della nostra nazione. Ora, sempre più gruppi di ransomware stanno introducendo versioni Linux. Se questi sistemi vengono interrotti da un attacco di ransomware, potrebbe causare un evento catastrofico. Gli attacchi di ransomware a questi sistemi potrebbero far sembrare la perturbazione del Colonial Pipeline un semplice contrattempo, quindi dovremmo fare tutte le preparazioni necessarie per affrontare questa minaccia in rapida crescita. Sfortunatamente, ciò rende Linux ancora più attraente per le attuali bande di ransomware, molte delle quali sono affiliate a stati-nazione che hanno risorse illimitate.
Linux: un sistema operativo fondamentale
La maggior parte delle persone non è familiare con Linux o non comprende appieno quanto influenzi la loro vita quotidiana. Il sistema operativo Linux funziona su meno del 3% dei desktop, mentre Windows è in esecuzione su circa l’80%. Poiché Linux non è così visibile in ufficio o a casa, le minacce a Linux non attirano tanta attenzione quanto quelle che colpiscono Windows.
Ciò che la maggior parte delle persone non sa è che Linux gestisce circa l’80% dei server Web ed è il sistema operativo più comune per dispositivi vincolati, incorporati e IoT utilizzati in settori come l’energia e la produzione. Linux guida anche la maggior parte delle reti governative e militari degli Stati Uniti, i sistemi finanziari e bancari, e gestisce la spina dorsale di Internet.
Inoltre, Linux gestisce la maggior parte dei server di database, dei server di file e dei server di posta elettronica delle organizzazioni. Linux unifica lo stack IT e rende la rete più facilmente gestibile. Quindi, se un attaccante ottiene accesso a un ambiente Linux, ha accesso ai sistemi e ai dati più critici di un’organizzazione.
Dato il suo scarso grado di visibilità e la piccola quota di mercato su desktop e laptop, la difesa di Linux tende ad essere un pensiero successivo. Infatti, la maggior parte delle soluzioni di sicurezza degli endpoint non copre nemmeno Linux, quindi le opzioni sono poche. Questo rende la difesa dei sistemi Linux una sfida importante.
Il ransomware Linux in crescita
Nel 2022, gli attacchi di ransomware mirati ai sistemi Linux sono aumentati del 75% rispetto all’anno precedente. Le bande di ransomware stanno introducendo versioni Linux a un ritmo crescente, con attacchi ora provenienti da alcune delle bande più famigerate come Conti, LockBit, RansomEXX, REvil e Hive. Anche attori minacciosi meno noti ed emergenti si stanno concentrando di più su Linux, con gruppi come Black Basta, IceFire, HelloKitty, BlackMatter e AvosLocker che aggiungono capacità Linux, solo per citarne alcuni.
Quindi, perché l’improvvisa attenzione sui server Linux? Gli aggressori stanno aumentando la loro attenzione sui server Linux per alcuni motivi, principalmente perché interrompere i server Linux ha il potenziale per infliggere molto dolore, e gli aggressori sanno che più dolore si traduce in più dollari nelle loro tasche da richieste di riscatto più elevate.
La natura “sempre attiva, sempre disponibile” dei sistemi Linux dipinge un enorme bersaglio per gli attori delle minacce, e compromettere i sistemi Linux fornisce una testa di ponte strategica per muoversi lateralmente attraverso la rete di un’organizzazione bersaglio. E Linux è open source, il che significa che gli aggressori hanno molta più intuizione su come funzionano i sistemi Linux e hanno un vantaggio nell’adattare gli attacchi.
Linux è anche altamente personalizzabile, motivo per cui è il sistema operativo preferito per grandi ambienti di rete. Ciò significa che gli attori delle minacce hanno un notevole livello di controllo sulla rete una volta che hanno ottenuto persistenza e accesso al Terminale Linux, fornendo loro una serie di potenti strumenti di rete per promuovere il loro ingresso nella rete.
È ora di prepararsi alla difesa
La chiave da ricordare qui è che qualsiasi organizzazione che gestisce distribuzioni Linux critiche dovrebbe iniziare a prepararsi per difendere questi sistemi che, fino a poco tempo fa, erano raramente bersaglio del ransomware. Ci sono pochissime opzioni di soluzioni di sicurezza sul mercato in grado di proteggere i sistemi Linux, e nessuna soluzione dedicata che si concentri specificamente sulla prevenzione del ransomware.
Le misure specifiche per garantire che un’organizzazione sia resiliente dopo un attacco di ransomware varieranno a seconda del settore di attività dell’organizzazione. In generale, le organizzazioni devono almeno avere in atto le basi in preparazione per un attacco di ransomware, tra cui:
- Protezione degli endpoint: implementare una soluzione anti-ransomware insieme alle esistenti piattaforme di protezione degli endpoint (EPP/DR/XDR) per colmare le lacune nella copertura specifica del ransomware.
- Gestione delle patch: mantenere tutti i software e i sistemi operativi aggiornati e corretti.
- Backup dei dati: assicurarsi che i dati critici siano copiati in un luogo esterno e protetti dalla corruzione in caso di attacco di ransomware.
- Controllo degli accessi: implementare la segmentazione della rete e le politiche del minimo privilegio (zero trust).
- Consapevolezza: educare contro comportamenti rischiosi e insegnare a evitare tecniche di phishing con un programma di sensibilizzazione dei dipendenti.
- Test di resilienza: testare regolarmente le soluzioni contro attacchi di ransomware simulati per garantire un’efficace rilevazione, prevenzione, risposta e pieno recupero dei sistemi bersaglio.
- Test delle procedure: pianificare e prepararsi per il fallimento eseguendo regolari esercitazioni a tavolino e assicurandosi che tutte le parti interessate siano pronte e disponibili a rispondere sempre a un attacco.
Il bersaglio dei sistemi Linux ha il potenziale per causare gravi interruzioni ben oltre la scala di qualsiasi attacco di ransomware visto fino ad oggi. Le conseguenze di non raddoppiare i nostri sforzi per difendere i sistemi Linux potrebbero rivelarsi catastrofiche, ma possiamo ridurre la minaccia di una grande interruzione e il suo potenziale impatto preparandoci ora.