Während Linux-Nutzer in der Dekade von 2010 bis 2020 nur in Ausnahmen von Ransomware-Angriffen auf ihre Systeme betroffen waren, haben in den letzten drei Jahre Attacken auf Linux-Systeme stark zugenommen. Insbesondere die Zahl der Angriffe auf ESXi-Systeme, die per Virtualisierung die Performance und Stabilität der IT-Infrastruktur steigern sollen, ist exorbitant gestiegen. Grund genug für die Forschungsabteilung des Cyber-Sicherheitslösungsanbieters Check Point solche Vorfälle gründlich zu untersuchen und in einem Vergleich mit den auf Windows abzielenden Malware-Pendants einzuordnen.
War Malware, die auf die Verschlüsselung der Daten eines Opfers abzielt, um für die Freigabe hohe Lösegeldsummen zu erpressen, in der Vergangenheit vor allem auf Windows-Umgebungen ausgerichtet, so stellen Experten inzwischen fest, dass sich die böswilligen Ransomware-Aktivitäten ständig weiterentwickeln und Kampagnen, die dezidiert auf Linux ausgerichtet sind, zunehmend an Bedeutung gewinnen. Die Threat-Intelligence-Abteilung des Anbieters Check Point hat nun eine Studie veröffentlicht, der die Analyse von insgesamt zwölf bekannte Ransomware-Familien zu Grunde liegt. Die Cyber-Sicherheitsforscher haben dabei die Malware ausgewählt, die entweder direkt auf Linux-Systeme abzielt oder über übergreifende Kompatibilität verfügt, sprich sowohl Windows- als auch Linux-Systeme infizieren kann.
Eine entscheidende Rolle bei der Verbreitung verschiedener Ransomware-Familien, so Experten, spielte die Veröffentlichung des Quellcodes der Babuk-Erpressergruppe im Jahr 2021, bei der der Code für das C++-basierte Linux Executable & Linkable Format (ELF) ESXi, für das Go(lang)-basierte Network Attached Storage (NAS) und das C++-basierte Windows-Ransomware-Tooling geleakt worden war. Da sich die Forschung im Bereich Cyberkriminalität häufig auf Windows konzentriert und es Anfang 2022 nur wenig Anzeichen gab, dass kriminelle Akteure Versuche gestartet hätten, den durchgesickerten Babuk-Quellcode für neue Kampagnen anzupassen, konnten cyber-kriminelle Gruppierungen auf Linux abzielende Angriffstechniken unbemerkt weiterentwickeln.
Ein Großteil der dokumentierten, auf Linux ausgerichteten Bedrohungen stützt sich laut der Experten stark auf die OpenSSL-Bibliothek. Die Studie des Sicherheitsanbieters Check Point hat einen regelrechten Trend zur Vereinfachung bei denjenigen Ransomware-Familien ausgemacht, die vordringlich auf Linux abzielen. Als Verschlüsselungsalgorithmen seien ChaCha20/RSA und AES/RSA am häufigsten zum Einsatz gekommen, so die Check-Point-Experten. Da sich die Kernfunktionen oft auf einfache Verschlüsselungsprozesse beschränken, die sich stark auf externe Konfigurationen und Skripte stützen, seien sie besonders schwer zu erkennen. Die Check-Point-Studie hebt zudem hervor, dass auf Linux abzielende Ransomware-Akteure sich vor allem auf ESXi-Systeme konzentrieren und, wenn sie strategisch vorgehen, Schwachstellen in exponierten Diensten als primäre Einstiegsvektoren nutzen.
Schon einige Zeit warnen Cyber-Risiko-Analysten, dass Linux-Ransomware in erster Linie auf exponierte Server mittlerer und großer Unternehmen zugeschnitten ist. Die Forscher des Sicherheitsanbieters Check Point haben nun zeigen können, dass die Angreifer ihre Vorgehensweise bei der Auswahl von Ordnern und Dateien für die Verschlüsselung an der unterschiedlichen internen Struktur von Linus respektive Windows ausrichten. Den ausgefeilteren Charakter der Linux-Ransomware im Vergleich zu den Windows-Pendants unterstreicht dabei ein wesentlicher Befund der Check-Point-Experten: Linux-orientierte Akteure programmieren so, dass sie kritische Verzeichnisse meiden können und keine Beschädigung des Systems herbeiführen.
Nach der Analyse der kürzlich beobachteten Ransomware-Familien BlackCat, Cl0p, Cylance, ESXiArgs, GwisinLocker, IceFire, LockBit, Maori, Monti, Rorschach, Royal und ViceSociety konnte das Check-
Point-Research-Team zwei klare Tendenzen ausmachen: In Bezug auf die Ziel- und Opfertypologie unterscheidet sich Linux-Ransomware erheblich von den Windows-Pendants, da Windows vor allem auf Personal-Computern und User-Workstations eingesetzt wird und Linux bei bestimmten Serverimplementierungen dominiert. Und Linux-Ransomware kommt selten ohne OpenSSL-Werkzeuge aus– mit AES (Advanced Encryption Standard) als gemeinsamen Verschlüsselungsgrundstein und RSA (Rivest–Shamir–Adleman) als primärer asymmetrischer Wahl. Beide Trends seien nach Expertenmeinung Ausdruck der Dynamik bei den sich aktuell entwickelnden Cyber-Bedrohungen.
