Il mito dell’ambiente Linux come al sicuro rispetto alle minacce informatiche è ormai tramontato da tempo.
A mettere la pietra tombale su questa credenza arriva una ricerca di Check Point che, analizzando gli attacchi ransomware nel sistema operativo open source, ha evidenziato un sostanziale aumento di casi. Se il fenomeno ransomware è sempre stato tipicamente collegato a Windows, la tendenza sta cambiando negli ultimi anni.
I primi casi di campagne operanti su Linux sono state registrate solo nel 2015 e, in molti casi, si trattava di rudimentali adattamenti rispetto a minacce già attive su Windows. Il vero e proprio boom sul sistema operativo del pinguino è cominciato a partire dal 2020, con diversi Ransomware-as-a-Service (RaaS) prodotti in modo specifico per tale piattaforma attraverso linguaggi come Golang o Rust.
A contribuire al numero di questi attacchi vi sono diversi fattori. In primis, Linux è uno standard diffuso per quanto riguarda i server, preda ambita per hacker e cybercriminali. In seconda battuta, tra gli utenti del sistema operativo talvolta aleggia ancora un’eccessiva sicurezza.
Allo stato attuale, le famiglie di ransomware attive in ambiente Linux sono svariate e comprendono nomi come:
- Maori
- Cl0p
- Cylance
- Royal
- ViceSociety
- IceFire
- BlackCat
- ESXiArgs
- Rorschach
- Monti
- LockBit
- GwisinLocker.
Ransomware e Linux: un mix sempre più esplosivo
Le analisi di Check Point hanno rivelato un’interessante semplificazione dei processi sfruttati dai cybercriminali. In parole povere, i ransomware proposti su Linux risultano essenziali, proponendo ben poche funzioni oltre a quelle utili per la crittografia.
Per ulteriori opportunità, i criminali informatici si affidano al supporto di strumenti teoricamente legittimi, ma sfruttati con intenti malevoli. In questo modo, i malware utilizzati nelle campagne sono più difficili da individuare dagli strumenti difensivi. Il lavoro dei ricercatori, inoltre, ha evidenziato alcune strategie distintive, come la predilezione dei gruppi ransomware per i sistemi ESXi.
Confrontando le diverse tecniche adottate su Windows e Linux, appare chiaro come i ransomware sul secondo OS optano spesso per OpenSSL come libreria principale. Allo stesso tempo, lato crittografia si opta per sistemi AES con più frequenza, talvolta abbinata a RSA.
Una cosa è sicura: a prescindere dal tipo di sistema operativo utilizzato, i ransomware restano una delle minacce più concrete nel contesto della cybersecurity attuale.