Somos compatibles con navegadores, no con dinosaurios. Actualice el navegador para ver correctamente el contenido de esta página web.

¿No sabe cuál es la solución de seguridad adecuada para su empresa?

El ransomware en Linux: Cómo proteger su empresa

Proteger a su empresa del ransomware es un reto, especialmente cuando se utilizan diversos sistemas operativos, cada uno con sus propios niveles de seguridad y riesgo. Dado que es probable que los empleados utilicen una combinación de sistemas operativos Windows, MacOS, Linux y móviles, puede ser difícil estar seguro de que la seguridad de su empresa es homogénea.

Este artículo analiza el ransomware en Linux: Qué es, cuánta seguridad ofrece, los diferentes tipos de ransomware que se dirigen a los dispositivos que funcionan con Linux y qué puede hacer para protegerse de su amenaza.

Pruebe Avast Business Hub GRATIS durante 30 días

Disfrute de una seguridad de nivel empresarial sea cual sea el tamaño de su empresa. Descargue Avast Business Hub y pruébelo sin riesgos durante 30 días.

Un hombre con camisa azul sostiene un vaso de café de papel mientras trabaja en un ordenador de mesa.

¿Qué es el ransomware en Linux?

En términos generales, el ransomware en Linux es un tipo de malware que puede atacar sistemas basados en el sistema operativo Linux (incluyendo distribuciones como Ubuntu y Debian). Este tipo de ataque se infiltrará en un dispositivo o red, identificará los documentos importantes y los cifrará. A menudo, la primera vez que se advierte un ataque es cuando se envía un mensaje exigiendo un pago por la devolución de los archivos cifrados. Para un individuo esto es aterrador, pero para una empresa podría causar potencialmente un daño irreparable a las operaciones y a la confianza de los clientes.

¿Es seguro Linux?

Aunque Linux tiene fama de ofrecer fuertes medidas de seguridad, lo que lo convierte en una opción popular para los servidores empresariales, lo cierto es que ningún sistema operativo (SO) está completamente a salvo de los ataques de malware. La naturaleza del malware es tal que el error humano puede ser a menudo la causa de una brecha, a través de la suplantación de identidad, el uso de contraseñas débiles, o no aplicar las actualizaciones cuando están disponibles.

Uno de los aspectos positivos para los usuarios de Linux es que las actualizaciones de seguridad no solo son regulares, sino que generalmente se consideran muy eficaces, lo que proporciona a su sistema una de las mejores seguridades del sistema operativo disponibles.

Otro aspecto positivo es que Linux asigna automáticamente permisos de acceso restringidos, lo que significa que si un pirata informático malintencionado consigue acceder a una cuenta de usuario, es menos probable que pueda acceder a datos seguros o conseguir controles de administración.

Los sistemas operativos Windows y Mac son más utilizados que Linux, pero los malos actores saben que Linux está creciendo en popularidad como sistema para servidores empresariales. Al obtener acceso a un sistema Linux, es mucho más probable que los hackers accedan a un servidor que a un único punto final. Por esta razón, las empresas no deben confiarse: debe utilizar un software antivirus para reducir el riesgo de ser atacado.

Ransomware en Linux: ¿Qué ocurre?

El ransomware para Linux es una preocupación creciente para las empresas que utilizan servidores Linux. Entender el proceso es vital para poder detectar actividades sospechosas en la red y otras señales de alarma. El enfoque de los atacantes varía, pero lo siguiente representa las etapas típicas de un ataque de ransomware para Linux.

1. Aprovechar las vulnerabilidades

Para acceder a una red y propagarse, el ransomware de Linux se basa generalmente en la identificación de vulnerabilidades. Esto podría ser tan simple como un proceso del sistema sin parchear o un fallo en un servicio. La vulnerabilidad puede no afectar al uso diario y podría pasar fácilmente desapercibida.

Algunas formas de ransomware para Linux utilizarán escáneres para identificar vulnerabilidades de inyección SQL que podría proporcionar acceso de administrador. La aplicación de actualizaciones y correcciones es fundamental para garantizar que las vulnerabilidades conocidas sean parcheadas.

Un diagrama que muestra cómo el ransomware se adhiere a una carpeta de documentos en un ordenador.

2. Instalarse

Una vez que el ransomware está en su sitio, solicitará la descarga de ejecutables maliciosos (normalmente un gusano, un troyano o un virus), que pueden colocarse en los directorios locales de la red. En este momento, comenzará a funcionar. Esto podría significar darse a sí mismo ciertos permisos de acceso y la capacidad de ejecutarse en el arranque o en el modo de recuperación.

En algunos casos, el ransomware utilizará la escalada de privilegios para acceder a funciones que normalmente solo utilizan los administradores de alto nivel. Esto significa que el malware podría ver y editar cualquier dato.

Un diagrama que muestra el posicionamiento del ransomware en los directorios de una red.>

3. Analizar

El ransomware escaneará el sistema en busca de carpetas y archivos compartidos con extensiones específicas. Estos objetivos están predeterminados y es probable que incluyan archivos de documentos (.PDF, .DOC) y software relacionado con la nube o el almacenamiento en red.

Es posible que su empresa aún no se haya percatado del malware, pero podría haberse establecido en su servidor y haber apuntado ya a los archivos por los que pedirá un rescate.

Un diagrama que muestra al ransomware escaneando un sistema e identificando los archivos específicos a los que se dirige.

4. Cifrar

En esta fase del ataque a un sistema Linux, el ransomware creará una versión cifrada de los archivos de destino, eliminando el original. Según el tipo de cifrado utilizado, esto podría ser irreversible.

Muchos métodos de cifrado se conocen como asimétricos, ya que utilizan un par de claves para cifrar y descifrar los datos. Normalmente, una de las claves es pública y visible, pero la otra es privada y solo la tiene el creador. El ransomware se pondrá en contacto con el servidor del ciberdelincuente para obtener una clave pública con la que iniciar el proceso de cifrado.

Un diagrama de una ventana de ordenador, mostrando un documento cifrado junto a la imagen de un candado.

Si los dispositivos no están conectados a la red en ese momento, el atacante esperará a que los usuarios vuelvan a estar conectados para cifrar también sus archivos.

Los tipos de cifrado más comunes son:

  • AES: el Estándar de Cifrado Avanzado (Rijndael) es un estándar creado por el Instituto Nacional de Estándares y Tecnología de Estados Unidos. Las claves pueden ser de 128, 192 o 256 bits (cuanto mayor sea el número, más compleja será la codificación).
  • RSA: es un sistema de clave pública que se desarrolló en 1977. Su nombre es un acrónimo de sus tres creadores: Rivest-Shamir-Adleman. Suelen tener una longitud de 1024 o 2048 bits, lo que los hace difíciles de romper.

5. Demandas

En la etapa final, las exigencias de la extorsión se hacen a través de una nota de rescate. Esto puede ser en forma de un mensaje de inicio, un documento colocado en el escritorio o en la ubicación de los archivos cifrados. El rescate suele incluir instrucciones de pago. Algunos también incluirán una fecha límite o una cuenta atrás, que podría hacer que el rescate aumente con el tiempo o amenazar con la eliminación permanente de los archivos si el pago no se realiza a tiempo.

En este punto, el ransomware ha completado su tarea.

Un diagrama que muestra un documento cifrado en el lado izquierdo y una demanda de ransomware y una cuenta atrás en el lado derecho.

Tipos de ransomware para Linux

Tycoon

La primera instancia de Tycoon fue vista en 2019. Se suele utilizar para atacar a las pymes y a las organizaciones de educación superior. Puede infectar tanto dispositivos Linux como Windows.

El acceso al sistema se obtiene a través de un archivo ZIP que contiene un archivo de imagen Java malicioso. A continuación, se utiliza un protocolo de escritorio remoto no seguro para ejecutar el objeto Java, que cifrará el sistema y dejará una nota de rescate.

Los ataques suelen ofrecer un plazo de 60 horas para el pago a través de Bitcoin. En algunos casos, la cantidad aumenta diariamente.

QNAPCrypt

Este ataque se centra en los dispositivos de almacenamiento conectados a la red (NAS) basados en Linux. La distribución suele realizarse a través de actualizaciones falsas y archivos infectados, incluidos los archivos ZIP.

El punto de entrada de QNAPCrypt es la autenticación defectuosa de un proxy SOCKS5 (una alternativa a una VPN que protege los paquetes de datos durante la transferencia) y tiene una baja tasa de detección. Una vez que el sistema se ve comprometido, el malware solicita un monedero de Bitcoin y una clave RSA pública al servidor del hacker antes de cifrar los datos de la víctima.

Una vez completado el cifrado, la información del rescate se deja en un archivo .txt. Cada víctima recibe un monedero único de Bitcoin en el que pagar el rescate, lo que ayuda a los atacantes a evitar su detección.

RansomEXX

RansomEXX (también conocido como Defrat777) se ha convertido en una de las formas más comunes de ransomware en dispositivos Linux en los últimos años. Comenzó como un malware para Windows, pero se ha utilizado cada vez más para atacar servidores Linux, sobre todo contra el Gobierno brasileño, el Departamento de Transporte de Texas y el Hospital Universitario de Brno en la República Checa.

Este tipo de ransomware se conoce como un «cazador de grandes cantidades»: se suele utilizar para atacar a grandes organizaciones y gobiernos en un intento de conseguir grandes pagos de rescate. En lugar de atacar varios puntos finales, el malware se dirige directamente al servidor, restringiendo el acceso a los archivos en su origen, lo que convierte a los servidores Linux en el principal objetivo de este tipo de ataques.

El RansomEXX se suele entregar a través de un correo electrónico que contiene un documento de Word malicioso. Una vez abierto, se descarga un troyano en el sistema del usuario, cifrando los archivos y generando una clave de cifrado de 256 bits. La clave se vuelve a cifrar cada segundo.

Erebus

Erebus fue visto por primera vez en 2016 como un ransomware basado en Windows. Se utilizó por primera vez contra sistemas Linux en 2017 para un ataque a la empresa surcoreana de alojamiento web NAYANA. 153 servidores Linux y más de 3400 sitios web de empresas se vieron afectados. El rescate de un millón de dólares en Bitcoin marcó un récord en su momento por la cuota más alta pagada.

Erebus se basa en que el usuario haga clic en enlaces maliciosos o abra archivos adjuntos de correos electrónicos infectados. También puede acceder a un sistema a través de software malicioso, como instaladores falsos.

El ransomware busca un amplio intervalo de tipos de archivos para cifrar, incluyendo bases de datos, archivos y documentos. El proceso de cifrado utilizado es difícil de descifrar, ya que utiliza una mezcla de tres criptosistemas diferentes (RSA-2048, AES y RC4). El ransomware también borra las Shadow Volume Copies del sistema operativo, lo que dificulta aún más la recuperación.

KillDisk

KillDisk es otro ransomware que comenzó en Windows antes de adaptarse a Linux. La versión de Linux de KillDisk cifra cada archivo con un conjunto diferente de claves de cifrado de 64 bits. A continuación, impide que el sistema arranque sobrescribiendo el cargador de arranque, y en su lugar presenta al usuario una nota de rescate a pantalla completa exigiendo el pago en Bitcoin.

La versión de Linux de KillDisk varía entonces de la de Windows: Las claves necesarias para descifrar los datos no se almacenan localmente ni se envían a un servidor durante un ataque a Linux, lo que significa que lo más probable es que la herramienta de cifrado se haya escrito para ser destructiva y no para la extorsión. Si no existe una clave de cifrado, es poco probable que se recuperen los archivos, independientemente de que se pague el rescate.

Protéjase contra el ransomware de Linux

El ransomware para Linux es una amenaza creciente, especialmente para los usuarios empresariales. Entre las medidas que debe tomar para proteger su empresa contra los ataques de ransomware se incluyen:

  • Instale las actualizaciones regularmente. Todos los servidores y puntos finales deben mantenerse actualizados. Los parches de seguridad y las correcciones de software deben instalarse siempre en cuanto estén disponibles.
  • Proporcionar formación en ciberseguridad al personal. Para minimizar los errores humanos, es vital que todo el personal tenga un nivel básico de formación en ciberseguridad. El test de ciberseguridad de Avast le ayudará a conocer la comprensión de su personal y a identificar los puntos débiles que pueden mejorarse con la formación.
  • Restringir los permisos de acceso. Los permisos de las cuentas de usuario deben, por política, mantenerse al mínimo. Todo el mundo tiene acceso solo a los archivos y aplicaciones necesarios para completar su trabajo.
  • Copia de seguridad de los datos. Mantener copias de seguridad seguras de los datos es fundamental para minimizar el daño potencial de un ataque.
  • Establecer una estrategia de seguridad. Muchos ataques se basan en el error humano para acceder a una red. Este riesgo puede reducirse significativamente aplicando una estrategia de seguridad que incluya la formación del personal, la aplicación de software de seguridad y la aplicación de las mejores prácticas en torno a las contraseñas seguras, los correos electrónicos seguros y la seguridad de los puntos finales.
  • Realizar inspecciones periódicas y evaluaciones de la vulnerabilidad. Los sistemas deben ser supervisados y evaluados cuidadosamente a intervalos regulares. Los registros de eventos deben ser revisados como parte de este proceso para identificar actividades sospechosas.
  • Disponer de un plan de respuesta. De la misma manera que una oficina tiene un plan de seguridad contra incendios, debería existir una estrategia contra el ransomware para garantizar que el personal sepa qué hacer en caso de ataque. El objetivo es minimizar los daños y garantizar una recuperación sin problemas.

Encontrará más información en el artículo «Cómo proteger su servidor Linux».

Antivirus avanzado para servidores Linux

Aunque Linux ofrece una de las mejores seguridades de sistema operativo disponibles, no es suficiente por sí solo para mantener los datos y el servidor de su empresa seguros y protegidos. Proteja su empresa con una protección dedicada contra el malware y los puntos finales de Linux.

Cerrar

¡Ya casi hemos terminado!

Complete la instalación haciendo clic en el archivo descargado y siguiendo las instrucciones.

Iniciando la descarga...
Nota: si su descarga no se inicia automáticamente, por favor, haga clic aquí.
Haga clic en este archivo para comenzar a instalar Avast.