Check Point Research (CPR) genomförde nyligen en studie av ransomware-attacker mot Linux- och Windows-system.
Ransomware-attacker mot Linux-system, särskilt mot ESXi-system, har ökat under de senaste åren och CPR har undersökt några incidenter och gör en jämförelse med Windows.
Historiskt sett har ransomware-hot främst riktats mot Windows-miljöer. Men landskapet utvecklas ständigt och ransomware mot Linux-system har tagit fart. CPRs studie analyserar tolv framstående ransomware-familjer som antingen riktar sig direkt mot Linux-system eller är plattformsoberoende, vilket gör att de kan infektera både Linux och Windows.
Utgivningen av Babuks källkod 2021 har spelat en avgörande roll i spridningen av olika ransomware-familjer. Det som skiljer ransomware riktat mot Linux är dess relativa enkelhet jämfört med motsvarigheterna mot Windows. Många av de Linux-fokuserade hoten är väldigt beroende av OpenSSL-biblioteket, där ChaCha20/RSA och AES/RSA framstår som de vanligaste krypteringsalgoritmerna.
Det första identifierade exemplet av ransomware går tillbaka till 1989 och var riktat mot Windows-system.
Det var inte förrän 2015, med Linux.Encoder.1, som ransomware mot Linux tog fart. Trots utvecklingen av ransomware mot Windows-system överfördes inte funktionerna direkt till Linux förrän de senaste åren, präglat av en betydande ökning av attacker sedan 2020.
– CPRs studie avslöjar en trend av förenklingar bland ransomware-familjer riktade mot Linux-system, säger Mats Ekdahl, säkerhetsexpert på Check Point Software. Kärnfunktionerna reduceras ofta till grundläggande krypteringsprocesser, förlitar sig starkt på externa konfigurationer och skript, vilket gör dem svårfångade och utmanande att upptäcka.
Ransomware riktat mot Linux skiljer sig avsevärt jämfört med Windows när det gäller mål och offer. Windows system är utbrett i persondatorer och Linux dominerar i servrar. Ransomware riktat mot Linux fokuserar främst på exponerade servrar eller de inom det interna nätverket som nås genom att spridas ifrån infekterade Windows-enheter.
En tydlig trend är att ransomware riktat mot Linux är strategiskt skräddarsytt för medelstora och stora organisationer, till skillnad från de mer generaliserade hoten mot Windows. De distinkta interna strukturerna i båda systemen påverkar angriparnas tillvägagångssätt för val av mappar och filer för kryptering. På Linux undviker angriparna ofta kritiska kataloger för att förhindra systemkorruption. Detta understryker den riktade och sofistikerade karaktären hos ransomware riktat mot Linux jämfört med motsvarigheter mot Windows.
