» »

Izsiljevalski virus z Windows dobil različico za Linux

Izsiljevalski virus z Windows dobil različico za Linux

Slo-Tech - Na Linuxu smo pred nesnago resda varnejši kakor na Windows, a ta varnost ni absolutna. Tako kot smo v preteklosti že videli posamezne primerke zlonamerne kode za Linux, velja tudi za najnovejšo nadlogo. Kaspersky je odkril Linuxovo verzijo izsiljevalskega virusa RansomEXX, ki se je doslej širil po Windows. Gre za sorazmerno nov kos programske opreme, ki so ga prvikrat opazili junija letos.

A zaradi tega ni bil nič manj aktiven, saj je doslej poskrbel za napade na brazilska sodišča, javni promet v Montrealu, teksaško upravo za promet, Konico Minolto in še nekaj drugih odmevnih primerov. Upravljavci so se specializirani za napade na velike sisteme, kjer lahko iztržijo večjo odkupnino, namesto ukvarjanja s stotaki od fizičnih oseb. Ugotovili so tudi, da nima smisla napadati delovnih postaj v podjetji, saj bodo preprosto pobrisali sisteme in jih na novo postavili iz varnostnih kopij. Zaradi tega izsiljevalski virusi sedaj ciljajo na centralne strežnike.

RansomEXX tudi ni edini, ki je v zadnjem času preskočil z Windows na Linux. Emsisoft je ugotovil, da je enak podvig uspel tudi Mespinozi. Pri tem v Emsisoftu poudarjajo, da je preprečevanje okužb zahtevno, saj hekerji viruse običajno namestijo, ko imajo dostop že do celotne mreže. Zato je treba poskrbeti, da do tega ne pride.

34 komentarjev

mtosev ::

Če hočeš imeti absolutno varnost priporočam arcaos. Linux je preveč mainstream os.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

A-242 ::

Cestitam linuxu, po desetletjih se je dovolj razsiril, da se je zlikovcem splacalo pisati ransomware zanj. Res postaja zrel OS (ko vrzete ven systemd in pricakate Poetteringa na parkiriscu z baseball kiji), seveda pa si ne zelite tega - zadeva je zevajoca luknja, ki leta 2020 se vedno nima nobenega za silo normalnega application firewalla, ki ni na nivoju Yugota, tako da vam bo ob sirjenju cesa bolj resnega trda predla - po drugi strani pa vam bo pomagalo dejstvo, da so binaryi med distribucijami prakticno nekompatibilni (freedom of choice), kar bo hudo zavrlo sirjenje cesarkoli kar ni bash scripta (ostali shelli so ze vprasljivi).

(Uporabljam linux na workstationu. Je namedeno sranje polno flik ampak alternative ali niso hardwarsko dovolj podprte, ali pa so vohunsko sranje, oz. samo sranje - Windows 8+.)

Zgodovina sprememb…

  • spremenilo: A-242 ()

Ales ::

Če so ciljna publika tehle serverji, potem se je linux že zdavnaj "dovolj razširil". Davno pred Androidom.

LeQuack ::

A ne morajo ti ransom hekerji enega prevajalca plačati z vsem tem silnim zaslužkom? Kako naj si jih resno jemlje če je v vsakem stavku toliko slovničnih napak?
Quack !

mr_chai ::

pol dajo pa protonmail kontakt...amaterji navadni:))

freetard ::

zadeva je zevajoca luknja, ki leta 2020 se vedno nima nobenega za silo normalnega application firewalla, ki ni na nivoju Yugota, tako da vam bo ob sirjenju cesa bolj resnega trda predla - po drugi strani pa vam bo pomagalo dejstvo, da so binaryi med distribucijami prakticno nekompatibilni (freedom of choice), kar bo hudo zavrlo sirjenje cesarkoli kar ni bash scripta (ostali shelli so ze vprasljivi).


O čem to govoriš? Za aplikacije imaš AppArmor, če želiš omejiti zadeve. Binaryi pa laufajo povsod, statično linkaš pa je, napiši svoj malware v go-ju pa bo OOTB povsod laufalo :)

poweroff ::

Aplication firewall je eden od problemov, ja. Pa še par drugih bi se našlo.

Po drugi strani me pa zanima kdaj bo Wayland dovolj zrel, da bo z vso silo udaril na namizja. Ker z Waylandom naj bi se tudi kup potencialnih ranljivosti potolklo...

SystemD... ko sem zadevo prvič videl, je bila moja reakcija "WTF, nooooo!". Ampak potem se je pa zgodilo kot v 1984:

"He gazed up at the enormous face. Forty years it had taken him to learn what kind of smile was hidden beneath the dark moustache. O cruel, needless misunderstanding! O stubborn, self-willed exile from the loving breast! Two gin-scented tears trickled down the sides of his nose. But it was all right, everything was all right, the struggle was finished. He had won the victory over himself.

He loved Big Brother.
"

:))
sudo poweroff

secops ::

Če je prva zadeva, ki jo naredite na linuxu setenforce 0, ste si sami krivi.

gozdar1 ::

Virus na windowsih->slab in luknjav os.
Taisti virus na lunuxih->zrel in vedno bolj popularen os.

Raptor F16 ::

Ubuntu po default nastavitvah ne pusti kaj dosti nameščat oz. moraš za vsak drek pognat terminal ali pisst password če ga hočeš prisilit da karkoli namesti/zažene.

SUDO make me a sandwich...

Kdor si na linux uspe naložit malware si je bolj ali manj sam kriv ker težko tukaj rečeš da si po pomoti karkoli zagnal.
Leva ... Leva ... leva desna ena dva

c3p0 ::

Kdor kot root dela bedarije, si morda zasluži tak problem. Pa saj ima urejen backup sistem? In to tak, ki ga niti kot root ne moreš pobrisat, z rednimi offline/offsite backupi. Yeah, right. V resnici že tu pade 90%+ sistemov.

Ta ubuntu "sudo ..." manija je pa res mimo, potem pa copy&paste iz tutorialov. Postani root, naredi kar misliš in pojdi nazaj user nivo.

mtosev ::

Raptor F16 je izjavil:

Ubuntu po default nastavitvah ne pusti kaj dosti nameščat oz. moraš za vsak drek pognat terminal ali pisst password če ga hočeš prisilit da karkoli namesti/zažene.

SUDO make me a sandwich...

Kdor si na linux uspe naložit malware si je bolj ali manj sam kriv ker težko tukaj rečeš da si po pomoti karkoli zagnal.

Jaz mam Windows tak nastavljen, da se mi uac prompt pokaže, če sploh želim task manager zagnati.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Zgodovina sprememb…

  • spremenil: mtosev ()

LeQuack ::

c3p0 je izjavil:

Kdor kot root dela bedarije, si morda zasluži tak problem. Pa saj ima urejen backup sistem? In to tak, ki ga niti kot root ne moreš pobrisat, z rednimi offline/offsite backupi. Yeah, right. V resnici že tu pade 90%+ sistemov.

Ta ubuntu "sudo ..." manija je pa res mimo, potem pa copy&paste iz tutorialov. Postani root, naredi kar misliš in pojdi nazaj user nivo.


S tem da če moraš za vsak stvar geslo vnašati, potem boš to geslo naredil manj varno, da ga hitreje vpišeš, noben ne bo prepisoval 30 random črk iz listka.
Quack !

LightBit ::

Saj se da nastaviti sudo tudi brez passworda. Samo potem ti tudi skripta lahko naredi karkoli.
Lahko pa odpreš tudi root shell ("sudo sh" ali "su -") pa ga imaš ves čas na voljo.

nergac ::

Sli-Taz ima to dobro rešeno.
Švicarji pač ...

LightBit ::

mtosev je izjavil:

Jaz mam Windows tak nastavljen, da se mi uac prompt pokaže, če sploh želim task manager zagnati.

Ja, od Viste naprej so tudi Windows-i precej bolj varni zaradi UAC. Oziroma že prej si lahko uporabljal omejene uporabnike.
Ta stari bazirani na DOS-u pa nimajo nikakršne varnosti.

nergac ::

Vedno krmarimo med varnostjo in udobjem.

Po želji.

In kaj kdo rabi, s čim se preživlja.

Samo tisti, ki so dolgo časa v tem, vidijo širšo sliko.

Manjkajoči kamenček v mozaik pa da tisti, ki nima pojma o IT.

Sam nisem med njimi, sem že "okužen".

A-242 ::

freetard je izjavil:

zadeva je zevajoca luknja, ki leta 2020 se vedno nima nobenega za silo normalnega application firewalla, ki ni na nivoju Yugota, tako da vam bo ob sirjenju cesa bolj resnega trda predla - po drugi strani pa vam bo pomagalo dejstvo, da so binaryi med distribucijami prakticno nekompatibilni (freedom of choice), kar bo hudo zavrlo sirjenje cesarkoli kar ni bash scripta (ostali shelli so ze vprasljivi).


O čem to govoriš? Za aplikacije imaš AppArmor, če želiš omejiti zadeve. Binaryi pa laufajo povsod, statično linkaš pa je, napiši svoj malware v go-ju pa bo OOTB povsod laufalo :)


Daj ne oglasaj se. Res. Nimas blage veze, leta 2000 so bili application firewalli na neskoncno visji ravni na windowsih (seveda, saj je bila potreba velika, kot je danes na linuxu, s tem, da si linuxasi se vedno kidajo pesek v oci kako so varni - vsaka aplikacija, ki ste si jo namontirali na linux v zadnjem casu klice domov, ubuntu celo predeluje firefox v repotih, da advertisa distribucijo v user agentu itd. - linux je postal tak divji zahod kot so bili windowsi leta 1991 s prihodi prvega spywara) kot na linuxu. Apparmor je pa ravno taksen joke kot je windows firewall.

Zgodovina sprememb…

  • spremenilo: A-242 ()

A-242 ::

secops je izjavil:

Če je prva zadeva, ki jo naredite na linuxu setenforce 0, ste si sami krivi.


Ne niso. Selinux je CIA sabotaza varnosti na linuxu, zadeva je spisana tako katastrofalno, da po eni strani varnostni manianki ne razvijajo varnostnih orodij (ki jih niti ne morejo, ker jih na drugi strani sabotira kernel team in isce nacine, kako zavarovati jedro, ce prav ravno s tem onemogoca nujne zadeve za varnost sistema, kot je recimo patchanje callov)- saj ze imamo selinux, po drugi strani pa ga nihce noce uporabljat, ker je spisan tako obupno, da je za slehernika prakticno neuporaben. Ce si zadovoljen z vklopljenim si ali nastudiral njegove rulesete (ki ti odvisno od distribucije prezivijo update, upgrade,...) ali pa ne uporabljas linuxa dovolj, da bi te motilo, da ti random klici failajo z rahlim zamikom, da je se tezje diagnosticirat kaj za vraga se sploh dogaja.

Zgodovina sprememb…

  • spremenilo: A-242 ()

LightBit ::

SELinux je res zakompliciran, ampak dvomim da je sabotaža (morda v smislu kompleksnosti), ker so ga zase naredili (NSA drugače).

A-242 je izjavil:

Apparmor je pa ravno taksen joke kot je windows firewall.

Večina uporabnikov na Windowsih uporablja samo ta firewall. Tudi mi ni v neko veselje tisto ko ti ves čas skače nekaj gor.

Zgodovina sprememb…

  • spremenil: LightBit ()

A-242 ::

LightBit je izjavil:

Tudi mi ni v neko veselje tisto ko ti ves čas skače nekaj gor.


V veselje ni, je pa varno in edini nacin da skozi nekaj tednov securas masino. To, da microsoft naredi firewall (antivirus), ki spusti mimo vso njihovo svinjarijo, to da ubuntu spise selinux rule, ki spustijo mimo vso njihovo svinjarijo nima veze z varnostjo. Je samo pesek v oci.

LightBit ::

Kaj pa mora biti Kaspersky, da ti v njihov "Cloud" uploada tvoje dokumente?

poweroff ::

A-242 ima prav.

Ubuntu je pred leti spesnil ufw. Kar naj bi pomenilo Uncomplicated (resno!) firewall.

Seveda je zadeva delala samo v terminalu. :))

Res pa je, da so iptables par stopenj bolj zahtevne.

Anyway. Nekdo je spisal Gufw - grafični vmesnik.

Namesto, da bi Gufw postal del grafičnega okolja so šli raje čarat z Waylandom na način, da se Gufw ni več dalo poganjati. Sploh.

Pardon, se je dalo, ampak je bilo treba spet nekaj po konzoli hekat.

Da bi pa imel firewall, ki ti kaže kateri procesi (!) se ti kam povezujejo... in ki bi začuda celo preverjal integriteto teh procesov (digitalne fingerprinte)... pa ki bi hranil en približno verodostojen log... pa mogoče še pokurjen bandwith in kaj podobnega... no, to bi bilo pa čudo.

Mogoče čez 15 let?

>:D

P. S. Sem uporabnik Linuxa, Linux je tudi na namizju moj edini OS.
sudo poweroff

HotBurek ::

Kam se pa nftables uvršča?
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

poweroff ::

Hmm, odkrito povem, da tegale do sedaj nisem poznal. Sem pogledal na hitro in plus je, da uvaja poenoten pristop (recimo združuje iptables in arptables...). Ampak spet gre za programiranje. Od povprečnega uporabnika težko pričakuješ, da se bo poglobil v to...

Sem pa videl, da obstaja nftables-gui... ampak se nehal brat, ko sem prebral ncurses... :))

Resno. Tudi iptables so zelo zmogljvo orodje. Da se recimo nastaviti, da ima Firefox nekega uporabnika dostop samo do določenih IPjev (npr. Wikipedia, Arnes in šola). Ampak to implementirat je totalen pain in the ass.

V letu 2020 bi bile te stvari lahko bolj dodelane.
sudo poweroff

LightBit ::

Meni je bil UFW kar všeč. GUFW je bil omejen, pa še nisi mogel uporabljati CLI in GUI hkrati.
Firewalld je bolj kompliciran, ampak je pa GUI boljši.
Tudi iptables sem imel naštudiran kar sem rabil, ampak je res da ne moreš iz glave.

Zgodovina sprememb…

  • spremenil: LightBit ()

Zimonem ::

Tu se celo jaz strinjam , z a242. Šel je bil honeytrap. Zraven je pa pomagal povozil nekaj prej sprejetih in dobro delujočih dobrih praks.

freetard ::

vsaka aplikacija, ki ste si jo namontirali na linux v zadnjem casu klice domov


No meni lsof -i ne pokaže nič pretresljivega, je pa res da v glavnem nameščam iz uradnih repotov. Kaj je pa z Apparmor narobe? Zares sprašujem.

c3p0 ::

LeQuack je izjavil:


S tem da če moraš za vsak stvar geslo vnašati, potem boš to geslo naredil manj varno, da ga hitreje vpišeš, noben ne bo prepisoval 30 random črk iz listka.


sudo imaš lahko ali brez gesla, če si v pravi skupini, ali pa ga vpišeš in si ga kešira za X minut od zadnje uporabe, tako da "sudo -s" ali "sudo su" ni nič manj varno.

A-242 ::

Se malo ubuntujeve varnosti: https://securitylab.github.com/research...

LightBit ::

To verjetno na žalost deluje tudi na mnogih drugih distribucijah.

MrStein ::

poweroff je izjavil:


P. S. Sem uporabnik Linuxa, Linux je tudi na namizju moj edini OS.

Torej našteti problemi niso showstopper oziroma hudi?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Odvisno kakšen uporabnik si. Za nezahtevne uporabnike niso problem. Za zahtevne uporabnike z dovolj znanja tudi ne.
sudo poweroff

nergac ::

Za ostale vmes tudi ne. :D


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kriminalci za izsiljevalskimi virusi zaostrujejo ... izsiljevanje

Oddelek: Novice / Znanost in tehnologija
187271 (4510) recmajkemi
»

Izsiljevalska zlobna koda pričenja napadati industrijske sisteme

Oddelek: Novice / Varnost
106519 (5448) ssokec
»

Hekerski napad ohromil največjega norveškega proizvajalca aluminija

Oddelek: Novice / Varnost
135745 (4414) AštiriL
»

NSA: WannaCry delo severnokorejskih državnih hekerjev

Oddelek: Novice / Kriptovalute
3610802 (7159) noraguta
»

izsiljevalski virus Locky (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
16943894 (35004) SeMiNeSanja

Več podobnih tem