Ransomware para Linux… algunas aclaraciones y reflexiones

miércoles, 11 de noviembre de 2015

A estas alturas, ya se ha oído hablar bastante del nuevo "ransomware para Linux" que secuestra páginas web alojadas en servidores Linux, y pide un rescate (un bitcoin en este caso) por ellas. La información que se ha dado merece, cuando menos, algunas aclaraciones y una reflexión.

Lo interesante es la filosofía

Se ha dado por hecho que a las páginas web que utilicen el sistema de comercio electrónico Magento han sido las atacadas. Magento es una tienda en PHP, que (como muchísimos otros gestores en PHP) tuvo un problema de seguridad que permitía la ejecución de PHP arbitrario, lo que equivale casi (si el administrador no ha tomado las medidas adecuadas) a la ejecución de código, al menos con los permisos del servidor web. Una rápida búsqueda hace pensar que sí, existen muchos sitios con Magento afectados… pero también Joomlas, Wordpress, Imagevues… cualquier programa vulnerable en PHP. La razón es simple: la vulnerabilidad y la carga del malware (el payload) como es costumbre, son independientes.

Lo "normal" es que los atacantes usen "dorks" de búsqueda de sitios PHP vulnerables y programan scripts para intentar aprovechar vulnerabilidades conocidas. Una vez que saben que pueden ejecutar PHP, el sitio es prácticamente suyo. Desde ahí, habitualmente, suben phishing, envían spam, realizan un "deface", alojan contenido ilegal… etc. Esto lo hace cualquier atacante de perfil bajo, "desde siempre". La novedad aquí por tanto no es que se ataque a Linux o PHP. Eso se hace todos los días. El foco de atención debería ponerse sobre la filosofía del ataque: en vez de aprovechar las capacidades del servidor, han preferido secuestrar su contenido.

Igual ocurrió en Windows. En vez de infectar los sistemas con más adware, ralentizarlo, usarlo como bot, robar credenciales… los atacantes comprobaron en 2010 que secuestrarlo podía ser más rentable. Y de qué manera. Ya lo habían intentado tímidamente en ocasiones anteriores, pero fue ese año cuando se abrió una era. No cambió la forma en la que el malware llegaba al sistema, sino qué hacía una vez en él y cómo enfocaba su rentabilidad. De hecho, resultaba técnicamente más simple en muchos sentidos con respecto a lo que se venía haciendo hasta entonces.

Por tanto, sobre Linux.Encoder.1, es interesante que esté programado para Linux, pero solo porque el atacante sabe que su cuota de éxito será mayor ahí. Bien podría poder haberlo hecho para cualquier plataforma, no supondría demasiado problema. Eso no es la novedad real.

Aviso para el administrador, no para el visitante de la web
(este fichero no queda visible por defecto para ser mostrado por el servidor)


De hecho, vemos aquí algunos ejemplos de sitios afectados. Parece que varios de ellos, ya estaban previamente comprometidos y alojaban shells en PHP (síntoma de un compromiso de "perfil bajo"). Esto quiere decir que fueron víctimas de esos bots que buscan sitios aleatorios en PHP vulnerables previamente, y que ya estaban en manos de atacantes antes de que les este malware cifrara su web.

Ejemplo de sitio cifrado, pero que ya alojaba una shell
Un ejemplo cualquiera de página cifrada
Sería interesante realizar un pequeño forense a esas máquinas para saber de dónde vino el ataque. Parece que no tenía capacidad de gusano (lanzar nuevos ataques desde la propia víctima), por tanto, podría dar una pista de los atacantes, si no se ocultaban a través de una red de anonimato.

¿Importa la detección?

Por supuesto, el malware no era detectado por los sistemas antivirus tradicionales por firma. Pero no importa demasiado. No parece habitual que administradores de Windows, y muchos menos de Linux, pongan en producción un sistema operativo protegido en tiempo real por antivirus. Como mucho, lanzarán cada cierto tiempo un análisis estático. Además, no es la forma más correcta de defenderse. El malware entra en el servidor no porque no se defienda adecuadamente contra el malware, sino porque acepta comandos de cualquiera. En el mundo de los servidores, más que un antivirus, es todavía mucho más razonable invertir en parchear el sistema y mantenerlo a salvo de los fallos más obvios. O centrar los esfuerzos en impedir que un acceso por web acabe con el control del servidor y ejecute comandos peligrosos.

Un cambio de filosofía

El ransomware ya se probó en los primeros años de la década pasada, cuando el malware no estaba profesionalizado. Pequeños intentos aislados que no tuvieron mucho éxito. Pero el boom sufrido en los últimos tiempos, primero con los bloqueadores de sistema y ahora con el malware que cifra archivos, supuso un importante cambio de filosofía. Se podía ganar aún más dinero con el malware. Ya disponían de un buen montón de usuarios vulnerables, plataformas profesionalizadas y buena distribución… pero no todo era el malware bancario. También estaba la extorsión. Qué descubrimiento. Esto parece especialmente preocupante. Los atacantes también tienen un buen montón de servidores vulnerables repartidos por el mundo y los aprovechan. ¿Y si deciden que esta nueva aproximación es más rentable que los ataques a servidores web que se vienen realizando hasta ahora? ¿Podemos asistir a una nueva moda en la que los servidores y páginas sean cifradas en vez de "desfiguradas"? ¿En las que se pida un rescate en vez de instalar una shell en PHP o un mailer?

Nunca se sabe. Aunque pueda existir un buen mercado, parece que el perfil de víctima no sería tan interesante (igual que no lo es el usuario de escritorio de sistemas operativos que no sean Windows). Además, la cura contra este problema es:
  • Una copia de seguridad actualizada, que es algo más probable (en contraste con el usuario de escritorio o administrador de red) que hayan hecho los dueños… o los administradores del hosting (aquí la responsabilidad puede que se diluya entre el responsable del contenido de la página y los responsables de la plataforma en la que está alojada)
  • Parchear el sistema contra vulnerabilidades conocidas. Si los administradores no lo han hecho, estamos seguros de que ya tienen otros problemas, puesto que es una puerta abierta al mundo que, seguro, ya es explotada habitualmente.
Todo es cuestión de coste y beneficio, y quizás un servidor comprometido con posibilidades más "dinámicas" (alojamiento de phishing, warez, spam, etc.) y usable a largo plazo  sea más rentable que cifrarlo. Usado de esta forma es un "valor seguro", mientras que la destrucción del propio servidor y reclamación de un rescate es un todo o nada, que puede salir bien (pagan) o no.

Dicen que pagan el 3% de los casos de Windows. F-Secure afirma que estos atacantes han podido ganar 12.000 euros en un mes (11.934 específicamente). Estos cálculos son arriesgados. ¿En qué se basan? No se menciona. Si buscamos en Google páginas posiblemente afectadas y todavía accesibles o cacheadas, obtenemos algo más de 12.000 resultados (aunque podrían ser más, pues Google está olvidando rápidamente). De ellos, la mayoría parecen reales, pero muchos son dobles entradas en el buscador de un mismo dominio, por lo que no cuentan.

Limpiando la salida con una búsqueda más afinada, podríamos hablar de (siendo generosos) 10.000 sitios afectados (curiosamente, muchísimo dominio europeo). El atacante pedía un solo bitcoin, que valora en 420 dólares (precio de primeros de noviembre).

Si respetamos el precio, suponemos 10.000 afectados y hablamos de un 1% de víctimas que llegan a pagar, tenemos 100 afectados y 42.000 dólares. Para que salgan los cálculos de F-Secure, tendríamos que suponer que, no un 1%, sino aproximadamente un 0,30% de esos 10.000 sitios han pagado. ¿Es real este dato? Quién sabe. Frente al dato estimado para Windows (el 3% de los infectados pagan), implica que los administradores de páginas son 100 veces menos propensos a pagar… Seguro que son menos propensos, pero no sabemos cuánto. De hecho, igual de irrelevante que la plataforma, aquí los números absolutos también lo son desde el punto de vista de qué nos depara el futuro. Importa la rentabilidad en términos relativos.

Lo único que nos permitirá saber si es rentable o no será si asistimos a nuevos ataques. En esta versión han cometido errores de bulto, como por ejemplo una mala implementación que permite descifrar los archivos sin necesidad de pagar, basándose en la fecha del primer archivo infectado. Esto ya lo hicieron en los primeros tiempos los atacantes "tradicionales" de ransomware de escritorio. Pero afinaron. Si en el futuro se observan nuevos ataques con malware mejorado, es que el ratio de víctimas que han pagado, sea cual sea, merece la pena. Así de simple.

Sergio de los Santos
ssantos@11paths.com

No hay comentarios:

Publicar un comentario