Una de las grandes mentiras y mitos que solemos escuchar y leer muy a menudo es que en «Linux no hay virus», «Linux no es un blanco de ataque para los hackers» y demás cosas relacionadas a que «Linux es inmune», cosa que es totalmente falso…
Lo que si podemos poner en mitad verdad y mitad mentira, es que en Linux no tiene la misma cantidad de malware y ataques por parte de hackers. Esto es debido a una simple y sencilla razón, ya que en el mercado linux no representa ni un 10% total de todos las computadoras de escritorio, por lo que básicamente no es rentable (por asi llamarlo) para dedicar una gran cantidad de tiempo y esfuerzo.
Pero lejos de ello eso no ha dado la pauta para que la cantidad de infecciones de malware dirigidas a dispositivos Linux siga en aumento y es que para lo que fue el 2021 la cantidad aumentó en un 35 % y esto es debido a que con mayor frecuencia son reportados los dispositivos IoT para ataques DDoS (denegación de servicio distribuida).
Los IoT suelen ser dispositivos «inteligentes» con poca potencia que ejecutan varias distribuciones de Linux y están limitados a una funcionalidad específica. Sin embargo, cuando sus recursos se combinan en grandes grupos, pueden lanzar ataques DDoS masivos incluso en infraestructuras bien protegidas.
Además de DDoS, los dispositivos Linux IoT se reclutan para extraer criptomonedas, facilitar campañas de spam, actuar como repetidores, actuar como servidores de comando y control, o incluso actuar como puntos de entrada a las redes de datos.
Un informe de Crowdstrike que analiza los datos de ataques de 2021 resume lo siguiente:
- En 2021, hubo un aumento del 35 % en el malware dirigido a sistemas Linux en comparación con 2020.
- XorDDoS, Mirai y Mozi fueron las familias más frecuentes y representaron el 22 % de todos los ataques de malware dirigidos a Linux vistos en 2021.
- Mozi, en particular, ha experimentado un crecimiento explosivo en el negocio, con diez veces más muestras circulando en el último año en comparación con el anterior.
- XorDDoS también experimentó un notable aumento interanual del 123 %.
Ademas de ello brinda una pequeña descripción general del malware:
- XorDDoS: es un troyano Linux versátil que funciona en múltiples arquitecturas de sistemas Linux, desde ARM (IoT) hasta x64 (servidores). Utiliza encriptación XOR para comunicaciones C2, de ahí su nombre. Al atacar dispositivos IoT, los dispositivos vulnerables de fuerza bruta XorDDoS a través de SSH. En máquinas Linux, usa el puerto 2375 para obtener acceso de root sin contraseña al host. Un caso notable de distribución del malware se mostró en 2021 después de que se observó que un actor de amenazas chino conocido como «Winnti» lo implementaba junto con otras redes de bots derivadas.
- Mozi: es una botnet P2P (peer-to-peer) que se basa en el sistema Distributed Hash Table Lookup (DHT) para ocultar comunicaciones C2 sospechosas de las soluciones de monitoreo de tráfico de red. Esta red de bots en particular existe desde hace bastante tiempo, añadiendo continuamente nuevas vulnerabilidades y ampliando su alcance.
- Mirai: es una botnet notoria que ha generado muchas bifurcaciones debido a su código fuente disponible públicamente y continúa plagando el mundo de IoT. Los diversos derivados implementan diferentes protocolos de comunicación C2, pero todos suelen abusar de credenciales débiles para forzarse a sí mismos en los dispositivos.
Varias variantes notables de Mirai se cubrieron en 2021, como «Dark Mirai», que se enfoca en enrutadores domésticos, y «Moobot», que apunta a cámaras.
» Algunas de las variantes más frecuentes seguidas por los investigadores de CrowdStrike involucran a Sora, IZIH9 y Rekai «, explica en el informe el investigador de CrowdStrike, Mihai Maganu. «En comparación con 2020, la cantidad de muestras identificadas para estas tres variantes aumentó un 33 %, 39 % y 83 % respectivamente en 2021. «
Los hallazgos de Crowstrike no son sorprendentes, ya que confirman una tendencia continua que ha surgido en años anteriores. Por ejemplo, un informe de Intezer que analiza las estadísticas de 2020 encontró que las familias de malware de Linux crecieron un 40 % en 2020 en comparación con el año anterior.
En los primeros seis meses de 2020, se registró un fuerte aumento del 500 % en el malware Golang, lo que demuestra que los creadores de malware están buscando formas de hacer que su código funcione en varias plataformas.
Esta programación y por extensión, la tendencia de focalización, ya se ha confirmado en los casos de principios de 2022 y se espera que continúe sin cesar.
Fuente: https://www.crowdstrike.com/
la diferencia es que un zero day en linux suele ser parcheado en menos de una semana (como muchísimo) y en Windows algunos nunca se resuelven.
La diferencia es que el sistema de permisos y arquitectura de Linux hacen mucho más difícil obtener permisos elevados desde una cuenta de usuario…
Y la diferencia que la mayoría de este trabajo es realizado por voluntarios del opensource y no por grandes corporaciones que crean código privativo para escondernos lo que pasa debajo. El Opensource es fácilmente auditable.
Pero bueno, tenéis razón en una cosa, si aumentan sus usuarios aumentarán los recursos para atacarlos y explorar vulnerabilidades si con ello se puede sacar réditos económicos.
POr ende, es una buena noticia que aumente el malware para Linux. :)
Y en IoT va ser el 100% de la culpa es del fabricante, el parche de muchos router Xiaomi que usan OpenWRT se lanzo 2 dias depues que se infectaran por Mirai, Xiaomi se actualizo a la semana. Muchos otros como los de TP-Link que tambien usan OpenWRT jamas se actualizaron
Al dia de hoy hay lavarropas infectados por Mirai y no se actualizan, siendo solo un parche que deben lanzar
Como paso con los servidores HP, jamas parchearon Java y eran una vulnerabilidad cubierta hace 2 años