A pesar de que la mayoría de familias de ransomware siguen estando dirigidas principalmente a sistemas Windows, de vez en cuando nos topamos con variantes que incluyen a otros sistemas operativos entre sus objetivos. Este es el caso de las nuevas variantes del ransomware Hive, que los investigadores de ESET han descubierto recientemente y que, según sus investigaciones, se trataría de versiones aún en desarrollo.
Variantes aún en desarrollo
La información publicada por los investigadores de ESET indica que estas nuevas variantes de Hive están escritas en el lenguaje de programación Golang, pero las cadenas, nombres de los paquetes y nombre de las funciones han sido ofuscadas, probablemente con la herramienta Gobfuscate.
En un reciente análisis de la variante dirigida al sistema Windows realizado por la empresa de seguridad Netskope ya se comentaba la posibilidad de que el grupo detrás de su desarrollo podría tener la capacidad de infectar otros sistemas operativos, algo que ha sido confirmado por la investigación de ESET.
En esta investigación reciente se ha podido comprobar como la variante dirigida a sistemas Linux no funciona correctamente, ya que el proceso de cifrado no funciona cuando el malware es ejecutado en la ruta del sistema específica. Además, esta variante tan solo soporta un parámetro por línea de comandos (-no-wipe), mientras que la variante dirigida a sistemas Windows soporta hasta 5 opciones de ejecución.
Además, el malware trata de colocar la nota de rescate y el fichero con información de la clave de cifrado en la raíz del sistema de ficheros, de forma que, a menos que se ejecute con privilegios de root, el proceso falla y el cifrado de los ficheros ni siquiera llega a empezar a realizarse. Todos estos indicios son los que han llevado a los investigadores de ESET a pensar que esta variante aún se encuentra en fase de desarrollo.
El creciente interés del ransomware en los servidores Linux
Aunque los delincuentes detrás de los ataques con ransomware suelen centrarse en redes administradas con Windows, el desarrollo de versiones para Linux no es algo novedoso. Ya en 2015 nos hacíamos eco del aumento de variantes dirigidas a Linux, aunque durante estos años ha seguido siendo algo residual.
Sin embargo, conforme más empresas están migrando a la utilización de máquinas virtuales corriendo bajo servidores Linux para mejorar la gestión de dispositivos y hacer un uso más eficiente de los recursos disponibles, más se interesan los delincuentes por atacar estos servidores.
Hive no es el único ransomware activo actualmente que se interesa en desarrollar versiones de su ransomware Linux. Otras familias como Babuk, DarkSide o Hellokitty, entre otras, ya disponen de ellas. La razón podría estar en conseguir realizar ataques dirigidos hacia la plataforma de virtualización VMware ESXi, la cual está basada en una versión de Red Hat Enterprise modificada. De esta forma, con un solo comando los atacantes podrían conseguir cifrar múltiples servidores a la vez.
Conclusión
Tras comprobar el interés creciente de los delincuentes en comprometer la seguridad de servidores Linux con versiones de ransomware dirigidas específicamente a ellos, debemos asegurarnos de proteger aquellos sistemas Linux que resultan críticos para la continuidad del negocio de la misma forma en que nos preocupamos de proteger los sistemas Windows que usamos en la empresa.
Josep Albors