Ransomware per Linux

Si chiama Linux.Encoder.1 il primo ransomware per Linux.

Il programma in questione (ma potrebbero uscire altre varianti in seguito) richiede privilegi amministrativi perché si demonizza prima di agire.

Sento già qualcuno dire «Allora io sono tranquillo» e mi permetto di rispondere «Un bel par di palle!»In questo contesto un “server Linux” è inteso come installazione di quel sistema operativo con software server quali web server, database server, ftp server, SMB server eccetera. Insomma, un server “vivo”.

Tutti i SysAdmin Linux dicono di operare a livello utente e fare sudo solamente quando richiesto. Ovvio: nessuno vi viene a dire che ha aperto ssh come root: sprovveduti sì, ma proprio idioti no.

Prendendo per buone queste dichiarazioni, il fatto stesso di agire come utente non privilegiato non è sufficiente, in quanto il passo successivo di Linux.Encoder.1 è, come avviene per Windows, l’inclusione di quel malware come payload di qualcos’altro.

Questo qualcosa potrebbe essere un file caricato in un sito di cui si è indovinata la password oppure un sito vulnerabile. Se il Linux ospitante non è aggiornato, il programma caricato potrebbe tentare qualche local privilege escalation e a quel punto il server è fritto. Se poi è un server con cose tipo cPanel o Plesk con un centinaio di virtual host il risultato è un bel fritto misto di siti.

Inoltre non è detto che in futuro escano altre varianti che si limitano a cifrare tutto il cifrabile con i privilegi che hanno (ovvio, senza demonizzarsi)

A parte un buon comportamento, la linea di difesa è quella che si consiglia per Windows: tenere i programmi aggiornati ed eseguire backup offlineE non c’è proprio niente di male o di vergognoso avere le stesse attenzioni che hanno gli utenti Windows.

Nel 2015 l’uptime di un sistema non è più un gioco (un po’ infantile) a chi ce l’ha più lungo, ma è un indice del tempo trascorso dall’ultimo aggiornamento del kernel e delle relative patch di sicurezza.

A questi due consigli aggiungo: non sentiamoci inattaccabili per il solo fatto stesso di usare Linux. È un comportamento irrazionale, lasciamo questi atteggiamenti ad altri.

Aggiornamento 10/11F-Secure riporta che le vittime Linux sono già state indicizzate da Google.

Bitdefender ha trovato una falla nel sistema di generazione della chiave: eseguendo un reverse engineer del ransomware i tecnici hanno scoperto che il generatore pseudocasuale utilizzato viene inizializzato con il timestamp del momento in cui viene eseguita la cifratura, informazione che è facilmente recuperabile guardando il timestamp del file cifrato. Pertanto è disponibile un programma che decifra i file bloccati. Come in altri casi, questo programma funziona con la versione attuale di Linux.Encoder.1, come lo sapete voi che il programma di cifratura è difettoso, l’hanno scoperto anche gli autori del malware ed è ragionevole presumere che già adesso stiano modificando il software.

 

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

7 pensieri riguardo “Ransomware per Linux”

  1. Grazie Luigi per questa info.
    Però non ho capito se i computer casalinghi sono esposti e fino a che punto.
    Ovviamente io mantengo sempre tutto aggiornato il più possibile però sarebbe bello avere qualche micro guida in questi tuoi post, perché io sono solo un utente medio che lo fa per passione e hobby non riesco a seguire tutto come fai tu per lavoro.

    1. Ciao Marco,
      grazie per il suggeriemnto delle micro-guide, cerco di farle se il tempo e le occasioni me lo consentiranno.

      in questo caso valgono i consigli generici che si danno per Windows: fai i backup e tienine almeno uno offline, non eseguire con privilegi amministrativi programmi di dubbia provenienza (inclusi quelli linkati sui forum o sui social da persone sconosciute) e installa i programmi dai repository della distribuzione Linux oppure da siti fidati.

  2. Di solito un utente Linux non ha le stesse attenzioni di un utente windows, ma ben di più 😉
    Quindi tengo sempre una live del mio sistema operativo e un backup giornaliero dei miei files.
    Si può fare anche sulla stessa pendrive, se ben capiente, divisa in due partizioni: una da 7-8 GB con la distro, una col resto della pendrive per i nostri files.

  3. Salve,
    siccome sono un utente poco esperto(mi sto avvicinando piano piano a Linux) vorrei chiedere dei chiarimenti su questo post(ho letto pure quello di BitDefender in cui viene spiegato bene il tutto)
    Vorrei quindi chiedere un chiarimento su questi pezzi di articolo:

    “Tutti i SysAdmin Linux dicono di operare a livello utente e fare sudo solamente quando richiesto. Ovvio: nessuno vi viene a dire che ha aperto ssh come root: sprovveduti sì, ma proprio idioti no.”

    Non capisco (probabilmente anzi sicuramente per la mia ignoranza in materia) la questione delle ssh: cosa comporta in questo caso l’aver aperto o meno una ssh?e quando si apre una ssh?(un utente normale ha bisogno di aprirla??)

    “Prendendo per buone queste dichiarazioni, il fatto stesso di agire come utente non privilegiato non è sufficiente, in quanto il passo successivo di Linux.Encoder.1 è, come avviene per Windows, l’inclusione di quel malware come payload di qualcos’altro.”

    Cosa significa che se uso il mio sistema senza privilegi questo virus possa in qualche modo “entrare” lo stesso come paylod(?) di qualcos’altro?

    “Questo qualcosa potrebbe essere un file caricato in un sito di cui si è indovinata la password oppure un sito vulnerabile. Se il Linux ospitante non è aggiornato, il programma caricato potrebbe tentare qualche local privilege escalation e a quel punto il server è fritto. Se poi è un server con cose tipo cPanel o Plesk con un centinaio di virtual host il risultato è un bel fritto misto di siti.”

    Il linux ospitante si intende il sistema linux che ospita il server(ad esempio di qualche sito??vedevo il problema con il sistema magento)e come avviene una local privilege escalation? mi riesce a spiegare meglio questo punto.

    So che probabilmente si metterà a ridere di fronte a tale ignoranza, anzi se avesse consigli da darmi riguardo dove poter informarmi su queste diverse questioni e nel sistema linux in generale ne sarei felicissimo.

    Ps. sicuramente vedrà la mia mail, se non vuole intasare il post con queste risposte le sarei davvero grato se vuole farlo tramite mail.

    La ringrazio anticipatamente per la sua cortesia.

  4. Innanzi tutto l’ignoranza non e’ una colpa ne’ un qualcosa di cui si deve ridere. Diventa ridicola quando la si maschera in altro modo, ma non e’ certo questo il caso, quindi nessun problema, siamo qui tutti per imparare e condividere le esperienze.

    Il post e’ effettivamente un po’ tecnico e da’ per scontate alcune cose, cerco di chiarire.

    SSH – una delle regole base della sicurezza e’ non permettere all’utente root di collegarsi via ssh, ma aprire ssh solamente ad un numero di utenti specifico, possibilmente con un nome non banale (tipo admin). In questo caso l’attaccante deve anche indovinare il nome dell’utente oltre che la password.
    Nell’articolo e’ usato come esempio di cattiva gestione di sicurezza.

    PAYLOAD – Il termine payload (termine mutuato dai trasporti, specialmente quelli aerei) e’ il “carico” vero e proprio di una trasmissione (mail, pacchetto dati trasferito via http, parte “attiva” di un trojan). In altre parole in un attacco informatico e’ la parte “nascosta” non visibile all’utente che usa qualcos’altro per dissimularsi. Un esempio potrebbe essere un file XLS che contiene un oggetto Flash che sfrutta una vulnerabilita’ di Flash per attaccare un PC. In questo caso, il ransomware potrebbe essere contenuto in qualcos’altro che viene spedito ad un utente del sistema designato come vittima.

    LOCAL PRIVILEGE ESCALATION – Cercando su Google questa parola si trovano esempi e spiegazioni. In sostanza si tratta di una serie ti tecniche di programmazione che sfruttano un baco di sicurezza del sistema operativo (Linux, Windows, MacOS, non importa) allo scopo di permettere ad un utente non privilegiato di eseguire comandi come se lui fosse l’utente con i massimi privilegi ammessi dal sistema. Le vulnerabilita’ di Local Privilege Escalation vengono scoperte e corrette, se un sistema non e’ aggiornato, questo resta potenzialmente vulnerabile.

    Se serve altro, siamo qui.

Spazio per un commento