Una de las cosas que no nos cansamos de repetir es que no debemos caer en que el árbol no nos deje ver el bosque. Así que hay una tendencia a pensar que Windows es el sistema más vulnerado. Pero no se debe a que sea más fácilmente atacable, sino que se debe a que es el más extendido. Evidentemente hay opciones «malignas» para todos los demás sistemas operativos. O casi todos, porque hay sistemas minoritarios que no captan la atención de los delincuentes. Así que fuera leyendas urbanas y tened muy presente que entre los sistemas que se creen erroneamente invulnerables, dicho por usuarios, tenemos MacOs, o también Linux.
Del primero ya hemos hablado muchas veces, como en este artículo de hace ahora un año, pero de Linux poco, y eso que es el que más usamos, tanto en el día a día, como en trabajos técnicos. Últimamente hemos visto noticias y artículos explicando vulnerabilidades y malware, hecho exprofeso para estos sistemas. Pero debemos deciros que un documento del CCN-Cert nos ha llamado especialmente la atención.
Dicho articulo detalla un malware del tipo ransomware para entornos Linux (ELF64), de la familia RansomEXX, o EXX , también conocido como Defray777 o RansomX.
Lleva circulando y actuando desde el año 2018 y algunos de los casos más sonados han sido:
- Mayo de 2020: el sistema judicial y el Departamento de Transporte del estado de Texas.
- Julio de 2020: la multinacional japonesa Konica Minolta.
- Noviembre de 2020: el sistema judicial de Brasil.
- Finales de 2020: la empresa brasileña Embraer, conocida por ser uno de los mayores fabricantes de aviones civiles de la actualidad. Aparte del cifrado correspondiente, filtraron sus datos, ya que fue víctima de la doble extorsión, tan común últimamente.
Una de las vías de entrada ha sido aprovechar vulnerabilidades en el producto de virtualización VMware, que suele albergar una gran cantidad de máquinas Linux, e infecta los discos duros virtuales.
El modus operandi de los ciberdelincuentes es siempre el mismo: en cada directorio afectado se creará un fichero con el nombre “!NEWS_FOR_EIGSI!.txt” en donde se indican las instrucciones para recuperar los ficheros cifrados.
Si las víctimas pagan el rescate, recibirán una herramienta (decryptor64) con la clave privada correspondiente, con lo que podrán recuperar los ficheros cifrados.
Así pues, si tenéis máquinas Linux, tanto virtuales como físicas, no creáis que son invulnerables.
Y en consecuencia, hay que prepararse adecuadamente. Nuestras recomendaciones:
– Hay que tener siempre un inventario de todo el software, y ver y comparar las vulnerabilidades que vayan apareciendo, para aplicar los parches correspondientes si los necesitáis.
– Tener bien planificadas las copias de seguridad y los planes de impacto y de respuesta a incidentes. De esta forma un ransomware puede ser un problema, pero no EL PROBLEMA definitivo, y el negocio se vea afectado lo mínimo, y no tenga que cerrar.
Esperamos que con este artículo tengáis claro que ¿Virus solo en Windows? ¡Claro que no! Y si no tenéis un responsable que se ocupe, siempre podéis confiar en un profesional que os ayude con todos estos temas, como un servicio externo, pero como si trabajara dentro de vuestra organización. Nosotros estamos aquí para lo que necesitéis.
Imagen principal: Pete Linforth en Pixabay