Анализ безопасности: программы-вымогатели в сравнении между Linux и Windows

19 декабря 2023

Компания Check Point Research (CPR) провела комплексное исследование, в котором предоставила анализ увеличения атакующих действий программ-шантажистов на платформы Linux. И как это сравнимо с аналогичными атаками для Windows.

Анализ CPR показывает заметное стремление к простоте методик среди зловредных программ, предназначенных для вымогательства, направленных на Linux. Ключевые функции представлены типовыми процедурами шифрования, следовательно, эти угрозы становятся недостижимые, их сложно обнаружить.

Сравнительное исследование способов шифрования в операционных системах Windows и Linux отображает приоритетность последовательностей ChaCha20/RSA, AES/RSA в программах-шантажистах для Линукс.

В своем обзоре Check Point Research провела детальное изучение воздействия зловредного ПО для вымогательства на платформы Windows, Linux, чтобы обозначить тенденции в области киберугроз. Все чаще в последние годы вымогательские программы атакуют ОС Linux, в частности гипервизор ESXi. Поэтому CPR углубляется в тонкости этих инцидентов, сравнивая их с похожими атаками для Windows.

Преимущественно, опасности ransomware программ направлены на пространства Windows. Но стоит отметить, картина преображается – зловредное программное обеспечение стремительно меняет вектор развития и все больше атакует Linux. В обзоре CPR оценивались 12 популярных семейств ransomware программ. Они используют или прямое воздействие на Linux, или применяют кроссплатформенный подход, в результате чего страдают и Windows, и системы Линукс.

Появление опасного вредоносного ПО Babuk в 2021 году спровоцировало увеличение разновидностей вымогательских программ. Основное отличие программ-шантажистов для Linux по сравнению с Windows – это упрощенные методы. Большинство из таких угроз ориентируется на данные библиотеки OpenSSL. В то же время ChaCha20/RSA и AES/RSA являются популярными последовательностями шифрования среди представленных в анализе экземпляров. Если рассматривать историческое развитие вымогательского программного обеспечения, то первый обнаруженный образец на ОС Windows датируется 1989 годом. Только в 2015 году, когда появился Linux.Encoder.1 ransomware-программы активизировались на атаках ОС Linux.

До 2020 года не наблюдалось прямых атак программ-вымогателей на Linux. По результатам исследования программы-шантажисты все больше адаптируют свои подходы зловредного воздействия на систему Линукс.

Они устанавливают базовое шифрование, ссылаясь на внешние настройки и схемы, поэтому они трудно поддаются обнаружению. В обзоре отображены отличительные формы поведения, особенно с упором на ESXi, выявление уязвимостей в исследуемых приложениях, как ключевые векторы проникновения.

Ransomware-программа для Linux приспособлена для компаний среднего и крупного бизнеса.

Такие программы-шантажисты обладают значительными отличиями от такого же вредоносного программного обеспечения для Windows, исходя из целей, жертв атаки.
Ransomware ПО для Linux рассчитано на серверные системы, которые инфицируются посредством заражения ОС Windows. Тут можно сделать вывод, что главные цели программ-вымогателей – средние и большие предприятия.

Архитектура Windows и Linux отличается и это тоже влияет на методы шифрования, которые выбирают преступники.
Зловредные программы для Линукс во многих случаях не затрагивают важные каталоги для предотвращения повреждения ОС. Они используют сложные, целенаправленные механизмы атаки на Linux по сравнению с Windows.

По данным Check Point Research, вымогательские программы при атаках на платформу Linux акцент делают на OpenSSL. В этом случае AES выступает как базовое шифрование. Такая однообразная тактика среди субъектов угроз показывает развивающийся ландшафт киберопасностей.

Владельцы лицензий Check Point могут не беспокоиться – производитель обеспечил свои продукты мощной защитой от программ-вымогателей.
Check Point Harmony Endpoint и Threat Emulation создают полный охват методов атак, видов файлов, что подтверждает максимальную защиту.
Anti-Ransomware Check Point защищает от самых продвинутых атак программ-шантажистов, безопасно возобновляет зашифрованную информацию. Защита от вымогательских программ уже входит в Harmony Endpoint, комплексную программу для гарантии безопасности конечных устройств.