Linux-specifikus ransomware
A Morphisec jelentése szerint a Linux, amely korábban a stabilitás és megbízhatóság szinonimája volt, mára elsődleges célponttá vált a ransomware szereplők számára. A korábbi megközelítés, miszerint a Linux mellőzhető a védelemben, most veszélyes vakfoltnak számít. A zsarolóvírus-csoportok – például a Pay2Key és a BERT – már kifejezetten Linux-specifikus változatokat fejlesztenek, amelyek a memóriaalapú végrehajtásra, gyors adatkinyerésre és kettős zsarolásra építenek.
A támadók módosított Linux binárisokat, cron-jobs-okat, Bash szkripteket és systemd szolgáltatásokat használnak, így az általuk telepített rosszindulatú kód nem kerül lemezre, és a hagyományos fájlszkenneres vagy viselkedésalapú EDR eszközök alig érzékelik. Ezzel együtt a ransomware manapság nem csak titkosít, hanem érzékeny adatokat is lop, amelyeket később nyilvánosságra hozhatnak, ha nem fizet a célpont. Különösen sérülékenyek a Linux-vezérelt felhős rendszerek és DevOps-pipeline-ek, valamint konténeres környezetek. A biztonsági modellek nem minden esetben követik a Linux skálázhatóságát, ezért a jogosultságok, konfigurációk és CI/CD folyamatok mentén gyakori a hiányosság – ezt a támadók készséggel használják ki.
A Morphisec kritikusan vizsgálja a jelenlegi védekezési stratégiákat, az EDR és AV rendszerek nem számolnak memóriaalapú, fájlnélküli és zero-day támadásokkal, ráadásul terjedelmi sérülékenységek miatt a Linux környezetek különösen kiszolgáltatottak. A különböző disztribúciók és konfigurációk miatt a láthatóság töredezett, az ügynökök pedig nem futtathatóak nagy rendszerterhelésű környezetekben.
A megoldás egy preventív, előrelépés-alapú védelem, nem csupán utólagos észlelés. A Morphisec által propagált deterministic prevention a memóriavédelemre, csapdáztatásra és moving target technológiára épít, amely futás előtt állítja meg a behatolást – így még a fájlmentes és ismeretlen támadások sem indulhatnak el . A megközelítés alacsony rendszerterheléssel és hamis riasztások nélkül működik, és integrálható meglévő EDR/XDR rendszerekkel.
