¿Puede afectar el ransomware a sistemas operativos basados en Linux?

El ransomware es una de las peores amenazas cibernéticas que existen hoy en día, además, existen varios tipos de ransomware diferentes, pero todos ellos están orientados a secuestrar todos tus datos con el objetivo de que pagues un rescate. Este tipo de malware afecta a cualquier sistema operativo, aunque muchos de los ataques han tenido como objetivo a sistemas operativos Windows, también existen muchos que están orientados a infectar un sistema operativo basado en Linux, por lo que si usas Linux tampoco estás a salvo de esta amenaza. Si ya has sido infectado por un ransomware, nuestra recomendación es que intentes recuperar los archivos cifrados o encriptados, pero nunca debes pagar por el rescate de los ciberdelincuentes.

Ransomware y el sistema operativo Linux

El sistema operativo Linux tiene una cuota de mercado realmente baja en sistemas de escritorio, es decir, en los ordenadores de sobremesa o portátiles que utilizamos habitualmente, ya sea para ocio o trabajo. Este sistema operativo sobre todo lo podemos encontrar en los servidores, en los NAS e incluso en el sistema operativo que usa la «nube» para procesar todos los datos de los usuarios y clientes. Los ciberdelincuentes saben que, si son capaces de infectar un servidor o NAS con Linux, es muy probable que los administradores paguen un rescate si es que no tienen copias de seguridad de todos los datos. Esto hace que los sistemas Linux sea uno de los objetivos prioritarios de cualquier ciberdelincuente, y es que el botín puede ser muy suculento como para dejarlo escapar.

Durante los últimos años se cuentan por decenas los ransomwares que afectan a los sistemas Linux, sus principales objetivos son los servidores y los NAS, conseguir acceso root explotando diferentes vulnerabilidades, y después cifrando o encriptando todos los datos para pedir un rescate. Por ejemplo, en el pasado ha habido incidentes de ransomware en las principales marcas de NAS, las cuales estaban expuestas a Internet y los ciberdelincuentes lo que hacían era explotar una vulnerabilidad no resuelta en el sistema, una vez que estuvieran en el sistema operativo como root, podían no solamente cifrar los datos, sino también borrar los snapshots que hayamos realizado e incluso ejecutar las tareas de copias de seguridad para «machacar» las copias de seguridad que hayamos realizado anteriormente.

Usar antivirus en Linux

Otro aspecto muy importante es que este malware de Linux también se puede dirigir a las máquinas con Windows. Debemos tener en cuenta que las últimas versiones de Windows, tanto Windows 10 como Windows 11, tienen el subsistema de Windows para Linux (WSL), por lo que se puede ejecutar los binarios de Linux de forma nativa en el sistema operativo. Si ya lo tenemos instalado y nos infectamos, podrían cifrar o encriptar todos los datos de nuestro sistema Windows. En el caso de no tenerlo instalado, si aprovechan una vulnerabilidad y entran en el sistema Windows, entonces podrían instalar de forma manual WSL para posteriormente ejecutar el ransomware en cuestión.

Por último, también debemos tener muy en cuenta los ataques específicamente dirigidos a Docker y Kubernetes expuestos a Internet. Es posible que los despliegues estén abiertos al mundo, y si un Docker se ve comprometido, podría afectar al resto de los Docker e incluso al sistema de archivos del servidor real, todo depende de cómo esté configurado a nivel de red y también con los volúmenes virtuales que le pasamos al contenedor.

¿Qué puedo hacer para proteger mi Linux del ransomware?

Lo primero que debes hacer es planificar las copias de seguridad adecuadamente. Debes aplicar cuanto antes una política de backup 3-2-1, es decir, hacer tres copias de seguridad, en dos sitios diferentes para añadir redundancia de datos, y una de las copias que esté offline en un disco duro, es decir, que no esté conectado a Internet. Una vez que hayamos realizado una buena política de copias de seguridad, es muy importante comprobar que estos backups están funcionando correctamente.

Después de asegurarnos de haber realizado una buena política de copias de seguridad y restauración, deberías realizar las siguientes recomendaciones y hacer hardening de Linux:

  • No exponer ningún servicio a Internet directamente. Si es necesario exponer algún servicio, realizar hardening para mitigar al máximo los fallos de seguridad.
  • Configurar correctamente el firewall. Si tu negocio está orientado a España, bloquea el resto de países.
  • Configura el IDS/IPS para prevenir posibles intrusiones en el sistema, es un añadido más de seguridad.
  • Si vas a acceder remotamente vía SSH, mejor monta primero un servidor VPN y después te conectas al SSH, o al menos, configura el SSH con la máxima seguridad posible.
  • Diseña una buena política de registros y envíalos a un servidor remoto para mantenerlos a salvo.
  • Habilita SELinux o AppArmor para añadir una capa más de seguridad a todos los procesos.

Tal y como podéis ver, el ransomware afecta por igual tanto a Windows como a Linux, por lo tanto, es muy importante que configures correctamente tu Linux y lo protejas bien, para mitigar este tipo de ataques tan peligrosos.

¡Sé el primero en comentar!