El flujo de ataque a linux son una serie de pasos, todos ellos destinados a maximizar la interrupción causada y aumentar la probabilidad de que se pague el rescate.
Vamos a comprenderlo, sencillo:
Etapa 1: Explotación de las vulnerabilidades->
A diferencia de la mayoría del ransomware de Windows y los ataques que comienzan con phishing o errores relacionados con el usuario:
☣️ El ransomware de Linux utiliza vulnerabilidades del sistema 💀 Y pueden ser casi de cualquier tipo: tener bugs sin parchear en el software, una configuración de acceso remoto insegura, fallos en el núcleo del sistema.
Por ejemplo, un atacante puede aprovechar un problema de software de versión obsoleta o servicios mal configurados que concedan acceso no autorizado al sistema. El uso de herramientas automatizadas para escanear dichas vulnerabilidades permite a los atacantes identificar y apuntar a su futura víctima en un abrir y cerrar de ojos.
Etapa 2: La escalada de privilegios->
La primera orden del día una vez dentro de un sistema comprometido es la escalada de privilegios. La escalada de privilegios es un hito importante en el proceso, ya que proporciona acceso no autorizado a los procesos y datos del sistema que de otro modo no serían accesibles.
La mayoría de las cepas de ransomware Linux están diseñadas para atacar servidores o entornos de nube, que a menudo se ejecutan bajo capas superiores de privilegios.
Esta cantidad de acceso otorgaría al atacante la capacidad de cifrar grandes porciones de una red y amplificar el alcance del ataque.
Etapa 3: Destruir información sensible->
Una vez en control, el ransomware se apresura a cifrar los archivos críticos ☢️ Estos pueden ser bases de datos, archivos de configuración y cualquier recurso importante para el sistema.
En este sentido, se dirige a esa información importante para que las operaciones de una organización se paralicen, y sin acceso a la información cifrada, es difícil que la organización pueda continuar con sus operaciones.
La mayoría de las veces, un proceso de cifrado exitoso está diseñado para funcionar sigilosamente en segundo plano y pasar desapercibido el mayor tiempo posible.
Cuando una organización finalmente se da cuenta de que ha sido atacada, es muy posible que ya se hayan producido daños, o es muy tarde 🚩
Fase 4: Nota de rescate y doble extorsión->
La mayoría de los ataques de ransomware incluirán una nota de rescate tras un proceso de cifrado exitoso que suele incluir instrucciones para realizar el pago del rescate en criptomoneda, normalmente, a cambio de claves para el descifrado.
Los atacantes están adoptando ahora una técnica más reciente de doble extorsión 💰 en la que no sólo amenazan sino que también filtran información sensible si no se paga el rescate, además de cifrar los datos 🔑