Uma das grandes mentiras e mitos que costumamos ouvir e lido com muita frequência é que em “Linux não há vírus”, "Linux não é alvo de hackers" e outras coisas relacionadas a "Linux é imune", o que é totalmente falso...
E se pudermos colocar meia verdade e meia mentira, é que o Linux não tem a mesma quantidade de malware e ataques de hackers. Isso se deve a uma razão simples e simples, já que no mercado linux não representa nem 10% de todos os computadores desktop, então basicamente não é lucrativo (por assim dizer) gastar uma grande quantidade de tempo e esforço.
Mas longe disso, isso não deu o tom para o número de infecções por malware visando dispositivos Linux continua a aumentar e é que, para o que era 2021, o valor aumentou 35% e isso ocorre porque os dispositivos IoT são relatados com mais frequência para ataques DDoS (negação de serviço distribuída).
As IoTs geralmente são dispositivos "inteligentes" com baixo consumo de energia que executam várias distribuições Linux e são limitados a funcionalidades específicas. Porém, quando seus recursos são combinados em grandes grupos, eles podem lançar ataques DDoS massivos mesmo em infraestruturas bem protegidas.
Além do DDoS, os dispositivos Linux IoT são recrutados para minerar criptomoedas, facilitar campanhas de spam, atuar como retransmissores, atuar como servidores de comando e controle ou até mesmo atuar como pontos de entrada para redes de dados.
Um relatório do Crowdstrike a análise dos dados de ataque de 2021 resume o seguinte:
- Em 2021, houve um aumento de 35% no malware direcionado a sistemas Linux em comparação com 2020.
- XorDDoS, Mirai e Mozi foram as famílias mais prevalentes, respondendo por 22% de todos os ataques de malware direcionados ao Linux vistos em 2021.
- A Mozi, em particular, teve um crescimento explosivo nos negócios, com dez vezes mais amostras circulando no ano passado em comparação com o ano anterior.
- O XorDDoS também teve um notável aumento de 123% ano a ano.
Além disso, fornece uma breve descrição geral do malware:
- XordDoS: é um Trojan Linux versátil que funciona em várias arquiteturas de sistema Linux, de ARM (IoT) a x64 (servidores). Ele usa criptografia XOR para comunicações C2, daí seu nome. Ao atacar dispositivos IoT, dispositivos vulneráveis XorDDoS de força bruta via SSH. Em máquinas Linux, use a porta 2375 para obter acesso root sem senha ao host. Um caso notável de distribuição do malware foi mostrado em 2021, depois que um agente de ameaças chinês conhecido como “Winnti” foi observado implantando-o junto com outros botnets derivados.
- Cinema: é um botnet P2P (peer-to-peer) que se baseia no sistema Distributed Hash Table Lookup (DHT) para ocultar comunicações C2 suspeitas de soluções de monitoramento de tráfego de rede. Esse botnet em particular já existe há algum tempo, adicionando continuamente novas vulnerabilidades e expandindo seu alcance.
- Veja: é um botnet notório que gerou muitos forks devido ao seu código-fonte publicamente disponível e continua a atormentar o mundo da IoT. Os vários derivados implementam diferentes protocolos de comunicação C2, mas todos eles geralmente abusam de credenciais fracas para se forçarem a entrar nos dispositivos.
Várias variantes notáveis do Mirai foram cobertas em 2021, como "Dark Mirai", que se concentra em roteadores domésticos, e "Moobot", que visa câmeras.
“Algumas das variantes mais prevalentes seguidas pelos pesquisadores da CrowdStrike envolvem Sora, IZIH9 e Rekai”, explica o pesquisador da CrowdStrike Mihai Maganu no relatório. “Em comparação com 2020, o número de amostras identificadas para essas três variantes aumentou 33%, 39% e 83%, respectivamente, em 2021”.
As descobertas da Crowstrike não são surpreendentes, como confirmar uma tendência contínua que surgiu em anos anteriores. Por exemplo, um relatório da Intezer analisando as estatísticas de 2020 descobriu que as famílias de malware Linux cresceram 40% em 2020 em comparação com o ano anterior.
Nos primeiros seis meses de 2020, houve um grande aumento de 500% no malware Golang, mostrando que os criadores de malware estão procurando maneiras de fazer seu código funcionar em várias plataformas.
Essa programação e, por extensão, a tendência de direcionamento, já foi confirmada em casos no início de 2022 e espera-se que continue inabalável.
fonte: https://www.crowdstrike.com/
a diferença é que um dia zero no linux geralmente é corrigido em menos de uma semana (no máximo) e no Windows alguns nunca são resolvidos.
A diferença é que a arquitetura e o sistema de permissões do Linux tornam muito mais difícil obter permissões elevadas de uma conta de usuário...
E a diferença é que a maior parte desse trabalho é feito por voluntários de código aberto e não por grandes corporações que criam código proprietário para esconder de nós o que está acontecendo por baixo. Opensource é facilmente auditável.
Mas ei, você está certo sobre uma coisa, se seus usuários aumentarem, os recursos para atacá-los e explorar vulnerabilidades aumentarão se você puder obter retornos econômicos com isso.
Portanto, é uma boa notícia que o malware Linux está em ascensão. :)
E em IoT será 100% culpa do fabricante, o patch para muitos roteadores Xiaomi que usam OpenWRT foi lançado 2 dias depois de serem infectados pelo Mirai, Xiaomi foi atualizado toda semana. Muitos outros como TP-Link que também usam OpenWRT nunca foram atualizados
Até hoje existem máquinas de lavar infectadas pelo Mirai e elas não são atualizadas, sendo apenas um patch que eles devem lançar
Como aconteceu com os servidores HP, eles nunca corrigiram o Java e era uma vulnerabilidade coberta há 2 anos