Атаки на Linux-серверы и системы виртуализации

Системы на базе Linux и ESXi все чаще становятся жертвой направленной атаки шифровальщиков-вымогателей. Что нужно для защиты серверов?

Какими методами атакуют серверы и как защититься от шифровальщиков-вымогателей.

Когда речь заходит о шифровальщиках-вымогателях, на ум в первую очередь приходит защита рабочих станций под управлением Windows, а также серверов Active Directory и других разработок Microsoft. Как показывает опыт, чаще всего этот подход можно считать оправданным, но не стоит забывать, что киберкриминал постоянно меняет свои тактики и сейчас все чаще разрабатывает вредоносные инструменты, нацеленные на Linux-серверы и системы виртуализации. Всего за 2022 год число атак на Linux-системы выросло примерно на 75%.

Мотивация атакующих понятна — Open Source и виртуализация используются все шире, поэтому серверов, работающих под Linux или VMWare ESXi, все больше. На них часто сосредоточено много критичной для компаний информации, шифрование которой мгновенно нарушает непрерывность бизнеса. А поскольку защите Windows-систем традиционно уделяется больше внимания, то серверы «не-Windows» оказываются удобной мишенью.

Атаки 2022–2023 годов

В феврале 2023 года многие владельцы серверов с VMware ESXi пострадали от эпидемии вымогателя ESXiArgs. Пользуясь уязвимостью CVE-2021-21974, атакующие отключали виртуальные машины и шифровали файлы .vmxf, .vmx, .vmdk, .vmsd, и .nvram.

Печально известная банда Clop, отметившаяся массированной атакой на уязвимые cервисы передачи файлов Fortra GoAnyWhere MFT через CVE-2023-0669, была замечена в декабре 2022 за ограниченным использованием Linux-версии своего шифровальщика. Она существенно отличается от Windows-версии: с одной стороны, в ней отсутствуют некоторые возможности оптимизации и трюки, препятствующие анализу; с другой — она адаптирована к системе прав и пользователей Linux и специально целится в папки баз данных Oracle.

Новая версия шифровальщика BlackBasta разработана специально для атак на гипервизоры ESXi. В схеме шифрования используется алгоритм ChaCha20 в режиме многопоточности с использованием нескольких процессоров. Поскольку фермы ESXi обычно многопроцессорные, такой алгоритм позволяет зашифровать всю среду максимально быстро.

Незадолго до своего распада вооружилась ESXi-шифровальщиком и группировка Conti. Учитывая, что многие данные Conti были слиты, их наработки, к сожалению, теперь доступны более широкому кругу злоумышленников.

Шифровальщик BlackCat, написанный на Rust, также способен отключать и удалять виртуальные машины ESXi. В остальном вредоносный код мало отличается от своей Windows-версии.

Обнаруженный нами в 2022 году шифровальщик Luna изначально является кроссплатформенным и способен работать на системах Windows, Linux и ESXi. Разумеется, не могли пройти мимо тенденции и в группировке LockBit — они также начали предлагать своей «партнерской сети» версии для ESXi.

Кроме того, среди более старых (но, увы, эффективных) атак можно вспомнить атаки RansomEXX и QNAPcrypt, масштабно поразившие именно Linux-серверы.

Тактика атак на серверы

Тактика проникновения на Linux-серверы, как правило, основана на эксплуатации уязвимостей. Атакующие могут вооружиться как уязвимостями в ОС и базовых приложениях вроде веб-сервера, так и в бизнес-приложениях, базах данных и системах виртуализации. Как показывает печальный прошлогодний опыт Log4Shell, особого внимания требуют уязвимости в компонентах Open Source. В дальнейшем многие образцы ransomware используют дополнительные трюки или уязвимости, чтобы повысить привилегии до достаточных для шифрования системы.

Меры защиты, приоритетные для Linux-серверов

Для того чтобы минимизировать шансы злоумышленников при атаке на сервер под Linux, мы советуем:

Советы