Ransomware, die auf Linux-Rechner abzielt, wird immer häufiger eingesetzt. Während die überwiegende Mehrheit der Ransomware immer noch auf Windows-Systeme abzielt, passen Ransomware-Gruppen ihr Angriffsarsenal so an, dass es mit dem Linux-Betriebssystem kompatibel ist.
Da Linux in der Regel das Betriebssystem für Server und Netzwerke ist, die typischerweise zur kritischen Infrastruktur gehören, kann ein Angriff verheerende Schäden anrichten. Daher ist es für die Angreifer interessant, eine Ransomware-Variante an Linux-Computer anzupassen. Die Zunahme von Linux-basierten Ransomware-Angriffen ist ein Hinweis darauf, dass Cyberkriminelle aktiv nach zusätzlichen strategischen Angriffsflächen suchen, um weitere Schwachstellen zu finden. Der weniger anfällige Linux-Rechner könnte diesem Interesse dienen, da er nicht die gleiche Sicherheitsvigilanz wie Windows aufweist und daher leichter ausnutzbare Sicherheitslücken bietet.
Zunehmende Verbreitung von Ransomware, die auf Linux abzielt
Die Zahl der Ransomware-Familien, die auf Linux abzielen, hat in den letzten Jahren dramatisch zugenommen. Eine Studie ergab einen Anstieg um 75 % vom ersten Halbjahr 2021 (1.121 Erkennungen) zum ersten Halbjahr 2022 (1.961 Erkennungen). Laut dem Jahresbericht 2023 von Recorded Future Insikt passen Bedrohungsakteure ihre Techniken mit alarmierender Häufigkeit an, um Linux-Systeme anzugreifen.
Im Zeitraum zwischen dem ersten Halbjahr 2022 und dem ersten Halbjahr 2023 haben sich die Hinweise auf Angriffe auf Linux vervierfacht. Zwar gibt es keine aktive Geschichte von Ransomware, die auf Windows abzielt, aber die Angreifer scheinen die verlorene Zeit aufzuholen.
BlackCat machte Schlagzeilen im Jahr 2023, als es zahlreiche Unternehmensnetzwerke angriff, darunter MGM, NextGen Healthcare, Solar Industries India, Instituto Federal Do Para, Munster Technological University und Lehigh Valley Health Network. Im Jahr 2024 wurde es für einen Angriff auf Change Healthcare verwendet, das eine Erpressungszahlung in Höhe von 22 Millionen US-Dollar leistete, um seine verschreibungspflichtigen Arzneimitteldienste, die wochenlang in den gesamten USA nicht verfügbar gewesen waren, wieder online zu bringen.
In ähnlicher Weise hat die Ransomware LockBit eine große Spur der Zerstörung hinterlassen, die in ihren verschiedenen Formen für Angriffe auf mehr als 2.000 Opferorganisationen eingesetzt wurde, darunter das Saint Anthony Children’s Hospital, Boeing, die britische Royal Mail und die Sandwich-Restaurantkette Subway, von der mehr als 120 Millionen Dollar an Lösegeldzahlungen erpresst wurden. Die Ransomware-Gruppe wurde zwar vorübergehend von der britischen National Crime Agency (NCA) gestoppt, doch ihre Aktivitäten wurden wieder aufgedeckt, als sie im März 2024 Daten von fünf neuen Opfern auf ihrer Darknet-Website veröffentlichte.
Einzigartige Merkmale von Ransomware
Die meisten Ransomware-Programme, die auf Linux abzielen, sind Anpassungen, die ursprünglich für Windows-Computer entwickelt wurden. Ein Beispiel hierfür ist LockBit, das 2019 in einer Kampagne weit verbreiteter Netzwerkangriffe neuartige Linux-Versionen seiner Ransomware-Variante einsetzte. Sie werden in der Regel in Sprachen mit guter plattformübergreifender Anpassungsfähigkeit entwickelt, wie z. B. Rust und Golang, wodurch sie sich relativ einfach für das neue Betriebssystem kompilieren lassen.
Die erste Ransomware-Familie, die speziell auf Linux ausgerichtet war, wurde erstmals 2015 mit der Verwendung von Linux.Encoder.1 Ransomware gesichtet. Bei diesem Angriff wurden TTPs verwendet, die bereits für Windows-Systeme hochentwickelt waren. Oftmals lassen sich TTPs nicht gut auf Linux-Systeme übertragen, was dazu führt, dass sie bei einem Prozess der Anpassung und Verfeinerung für andere Systeme gespalten werden.
Bei der Analyse der Gemeinsamkeiten von Ransomware-Familien, die auf Linux abzielen, haben Forscher festgestellt, dass die von ihnen verwendeten Nutzlasten in der Regel auf das Wesentliche reduziert sind und nur minimale Fähigkeiten und Inhalte innerhalb der Binärdatei besitzen. In einigen Fällen sind sie auf den reinen Dateiverschlüsselungscode reduziert. Dadurch ist die Ransomware sehr stark von Konfigurationen, Skripten oder Befehlszeilen innerhalb der Zielumgebung abhängig, um die Kontrolle zu erlangen und Aktionen auszuführen. Ein Beispiel hierfür ist Cl0p, das nur über Verschlüsselungsfunktionen verfügt und als einzigen Parameter einen zu verschlüsselnden Pfad unterstützt.
Content of an encrypted file by iFire
Da Ransomware so wenig innere Logik aufweist, ist sie äußerst schwer zu erkennen. Beispielsweise verfügen sie nicht über viele der Logiksequenzen, die in Malware für Windows-Computer zu finden sind, wie z. B. ein Kommunikationsprotokoll mit einem Server, Befehle zur Vorbereitung des Systems auf die Verschlüsselung oder Methoden zur Persistenz. Der minimalistische Code repliziert sich und lässt sich leicht im Code anderer legitimer Anwendungen tarnen.
Erreichen einer Infektion
Um auf Linux-Computern Fuß zu fassen, sind andere Methoden und Techniken erforderlich als bei Windows oder macOS, bei denen Phishing oder Credential Stuffing zum Einsatz kommen. Stattdessen nutzen Hacker in der Regel Schwachstellen oder im Internet exponierte Fehlkonfigurationen aus. Eine der häufigsten Infektionsketten bei Linux ist die Ausnutzung einer Schwachstelle in einem exponierten Dienst, der auf dem Server des Opfers gehostet wird.
Der Grund für diesen Unterschied liegt darin, dass Linux-Rechner in der Regel nicht als Workstations verwendet werden, bei denen der Benutzer das schwächste Glied ist. Sie werden in der Regel auf Servern eingesetzt, auf denen Dienste ausgeführt werden, die mit dem Internet verbunden sind. Sobald diese Rechner kompromittiert sind, können sie ausgenutzt werden und einen leichteren lateralen Zugriff auf das gesamte Netzwerk des Unternehmens ermöglichen.
A file listing before and after running the payload
Die Kill Chain
Persistenz spielt bei Ransomware-Kampagnen, wie auch bei anderen Arten von Bedrohungen, keine große Rolle. Sobald die Dateien und Verzeichnisse des Opfers verschlüsselt sind, ist jede weitere Ausführung im System sinnlos. In der realen Welt sind Bedrohungsakteure jedoch motiviert, die Verschlüsselung nicht auf einen einzelnen Computer zu beschränken, sondern sie auf andere zu übertragen und nach und nach die gesamte Infrastruktur zu infizieren.
Angreifer passen ihre Techniken wahrscheinlich an, um die Sicherheitsstärken und -schwächen der Zielumgebung zu ermitteln. Nach der Kompromittierung des exponierten Dienstes umfasst die Kill Chain in der Regel die Bereitstellung einer Webshell, mit der die Kontrolle über den Zielserver übernommen wird.
Webshells fungieren als Hintertüren und ermöglichen es Bedrohungsakteuren, auch nach einem Neustart weiterhin auf kompromittierte Server zuzugreifen. Wenn während eines komplexen Angriffs über laterale Bewegungen auf Server zugegriffen wird, wird die Persistenz oft durch die Erstellung neuer Benutzerkonten oder die Exfiltration der Server-Anmeldedaten erreicht. Dadurch können Angreifer den Zugriff über legitime Dienste wie SSH aufrechterhalten. Es kommt selten vor, dass Ransomware mehrere Persistenzmethoden einsetzt. In der Regel wird der anfällige Server sofort verschlüsselt und löscht sich dann nach der Ausführung selbst, wie bei Ransomware wie LockBit und BlackCat beobachtet wurde.
The help parameters called by a BlackCat ransomware attack
Der Linux-Kill-Chain einen Schritt voraus
Viele der verschiedenen Ransomware-Familien, ob LockBit, BlackCat oder andere wie Cl0p und Maori, verwenden in der Regel viele der gleichen TTPs, Programmiersprachen und Technologien. Zwar gibt es bei neuen Techniken Variationen, die auf eine gewisse Weiterentwicklung hindeuten, da Hacker versuchen, die Heimlichkeit und Durchdringung ihrer Angriffe zu verfeinern, doch bekannte, bewährte Vorgehensweisen werden nie ganz aufgegeben. Die Vorhersehbarkeit des Angreiferverhaltens ermöglicht es, einen Angriff zu antizipieren und die erforderlichen Sicherheitsvorkehrungen zu treffen, um Sicherheitsverletzungen zu verhindern.
Tools zur Unterstützung des CTEM (Continuous Threat Exposure Management) ermöglichen es Sicherheitsteams, die Gefährdung ihrer Organisation durch Ransomware-Bedrohungen zu bewerten und das tatsächliche Risiko jeder Gefährdung zu bestimmen, um die Priorisierung von Abhilfemaßnahmen effektiv zu gestalten. Um die Wirksamkeit der Abhilfemaßnahmen zu testen, führen Sicherheitsteams einen emulierten Ransomware-Angriff durch, um zu überprüfen, ob die implementierten Korrekturen funktioniert haben.
„RansomwareReady“ von Pentera ist eine solche Lösung. Sie emuliert ganze Ransomware-Kampagnen gegen die Produktionsumgebung des Unternehmens. Die Plattform leistet weit mehr als eine Schwachstellenanalyse und emuliert viele der zerstörerischsten Ransomware-Stämme unter Windows und Linux, darunter Maze, REvil, Conti, LockBit 2.0 und Lockbit 3.0.
Nachdem sie sich zunächst im Netzwerk festgesetzt hat, führt Pentera Ransomware-TTPs sicher aus und versucht, vollständige Angriffsketten zu vervollständigen. Die Algorithmen der Plattform decken einen gesamten Angriffsvorgang ab, einschließlich der Injektion bösartiger Skripte, der Ausnutzung der Nutzlast, der Verschlüsselung von Daten und der Exfiltration auf einen C2-Server.
Attack path for LockBit 3.0
Während des simulierten Angriffs kann RansomwareReady auch zur Bewertung der Wirksamkeit von Sicherheitsrichtlinien und -tools zur Erkennung und Reaktion eingesetzt werden.
Schließlich erhalten Sicherheitsteams eine priorisierte Schritt-für-Schritt-Anleitung zur Behebung der Schwachstellen, sodass der Prozess zur Stärkung der Sicherheit und zur Sicherstellung, dass Organisationen auf Ransomware vorbereitet sind, klar und einfach umzusetzen ist.
Da Hacker ihre Palette an TTPs erweitern und ihre Ziele auf verschiedene Endpunkte und Betriebssysteme verteilen, müssen Unternehmen sicherstellen, dass ihre Infrastruktur ganzheitlich bereit ist, um diese Angriffe zu stoppen. Verteidiger können es sich nicht leisten, in diesem Wettlauf um die Widerstandsfähigkeit gegen Ransomware ins Hintertreffen zu geraten. Sie müssen ihren Schutzbereich erweitern und dann überprüfen, ob er tatsächlich funktioniert.
Sind Sie bereit für Ransomware-Resilienz? Testen Sie Ihre Linux-Systeme mit Pentera und bleiben Sie sicher.
Ihr Kontakt zu uns:
Matan Katz, Regional Development
Hier direkt einen Termin buchen:
https://pentera.oramalthea.com/c/MatanKatz
Oliver Meroni, Regional Sales Manager Switzerland & Austria, Pentera
Hanspeter Karl, Area Vice President DACH, Pentera
Bild/Quelle: https://depositphotos.com/de/home.html