Vi har stöd för uppdaterade webbläsare. Uppdatera webbläsaren om du vill se innehållet på den här webbsidan på rätt sätt.

Är du inte säker på vilken lösning som är bäst för ditt företag?

Utpressningstrojaner på Linux: Så skyddar du ditt företag

Att skydda sin verksamhet från utpressningstrojaner är krävande, i synnerhet när flera olika operativsystem används, vart och ett med egna nivåer av säkerhet och risk. Med medarbetare som sannolikt använder en kombination av Windows-, MacOS-, Linux- och mobiloperativsystem kan det vara svårt att garantera konsekvent säkerhet för verksamheten.

Den här artikeln berättar mer om utpressningstrojaner på Linux: Vad det är, vilka olika typer av utpressningstrojaner som riktar sig mot enheter som kör Linux och vad du kan göra för att skydda dig mot hotet från dem.

Prova Avast Business Hub GRATIS i 30 dagar

Få säkerhet i företagsklass oavsett storleken på ditt företag. Ladda ned Avast Business Hub och prova riskfritt i 30 dagar.

En man i blå skjorta håller i en pappersmugg med kaffe medan han arbetar på en stationär dator.

Vad är utpressningstrojaner för Linux?

Allmänt uttryckt är utpressningstrojaner för Linux en typ av skadlig kod som kan attackera system baserade på operativsystemet Linux (inklusive distributioner som Ubuntu och Debian). Attacker av den här typen infiltrerar enheter eller nätverk, identifierar viktiga dokument och krypterar dem. Attackerna upptäcks oftast när ett meddelande skickas med krav på betalning för att återfå de krypterade filerna. En enskild individ kan uppleva det som skrämmande, medan ett företag riskerar att drabbas av irreparabla skador på verksamheten och kundernas förtroende.

Är Linux säkert?

Linux har ett rykte om sig att erbjuda starka säkerhetsåtgärder, vilket gör det till ett populärt alternativ för företagsservrar, men sanningen är att inget operativsystem (OS) är hundraprocentigt skyddat från attacker med skadlig kod. Skadlig kod är till naturen sådan att den mänskliga faktorn ofta är orsaken till ett intrång – genom nätfiske, svaga lösenord eller underlåtenhet att implementera uppdateringar när de blir tillgängliga.

En fördel för Linux-användare är att säkerhetsuppdateringar inte bara sker regelbundet, de anses dessutom vara mycket effektiva, vilket innebär att systemet får några av marknadens bästa OS-säkerhetsfunktioner.

En annan fördel är att Linux automatiskt tilldelar begränsade åtkomstbehörigheter, vilket gör det mindre sannolikt att en hackare med onda avsikter som får tillgång till ett användarkonto även lyckas komma åt skyddade data eller överta administratörsfunktioner.

Windows- och Mac-operativsystemen är betydligt vanligare än Linux, men kriminella aktörer vet att Linux ökar i popularitet som system för företagsservrar. Hackare som tar sig in i ett Linux-system är betydligt mer benägna att försöka få åtkomst till en server än en enskild slutpunkt. Därmed kan företagen inte sitta nöjda i båten – för att minska risken för attacker måste du använda antivirusprogram.

Utpressningstrojaner på Linux: Vad händer?

Utpressningstrojaner för Linux är ett växande problem för företag som använder Linux-servrar. Att förstå processen är avgörande för att kunna upptäcka misstänkt aktivitet och andra röda flaggor. Angriparnas metoder varierar, men här beskriver vi de vanligaste faserna i en attack med utpressningstrojaner på Linux.

1. Utnyttja sårbarheter

För att få tillgång till ett nätverk och sprida sig är utpressningstrojaner för Linux oftast beroende av att de kan hitta sårbarheter. Det kan vara något så enkelt som en okorrigerad systemprocess eller ett fel i en tjänst. Sårbarheten kanske inte påverkar den dagliga användningen och kan vara lätt att missa.

Vissa typer av utpressningstrojaner för Linux använder skanningsverktyg för att identifiera SQL-injektionssårbarheter som kan ge administratörsbehörighet. Att tillämpa uppdateringar och korrigeringar är avgörande för att säkerställa att kända sårbarheter åtgärdas.

Grafik som visar hur en utpressningstrojan kopplar fast sig i en dokumentmapp på en dator.

2. Konfigurera

När utpressningstrojanen väl är på plats begär den hämtning av skadliga körbara filer (oftast en mask, en trojan eller ett virus), som sedan kan placeras i nätverkets lokala mappar. Nu börjar funktionerna aktiveras. Det kan innebära att trojanen ger sig själv vissa åtkomstbehörigheter och förmågan att köras vid start eller i återställningsläge.

I vissa fall använder utpressningstrojanen privilegieeskalering för att få åtkomst till funktioner som annars bara används av administratörer på hög nivå. Denna förbikoppling innebär att den skadliga koden kan visa och redigera alla slags data.

Grafik som visar hur en utpressningstrojan placerar sig själv i katalogerna i ett nätverk.>

3. Skanna

Utpressningstrojanen börjar genomsöka systemet för att hitta delade mappar och filer med specifika filändelser. Målen är bestämda på förhand och omfattar sannolikt dokumentfiler (.PDF, .DOC) och programvara som är relaterad till moln- eller nätverkslagringen.

Ditt företag har kanske ännu inte upptäckt den skadliga koden, men den kan redan ha etablerat sig på din server och riktat sig mot de filer som ska användas i utpressningssyfte.

Grafik som visar hur en utpressningstrojan genomsöker ett system och identifierar specifika målfiler.

4. Kryptera

I den här fasen under en attack mot ett Linux-system skapar utpressningstrojanen en krypterad version av målfilerna och tar bort originalet. Beroende på vilken typ av kryptering som används kan den här åtgärden vara oåterkallelig.

Många krypteringsmetoder är kända som symmetriska, eftersom de använder ett nyckelpar för att kryptera och dekryptera data. Oftast brukar en av nycklarna vara publik och synlig, medan den andra är privat och innehas av skaparen. Utpressningstrojanen kontaktar cyberbrottslingens server i syfte att få en publik nyckel för att påbörja krypteringsprocessen.

Grafik som visar fönstret på en dator med ett krypterat dokument bredvid en bild av ett hänglås.

Om inga enheter är anslutna till nätverket i det här skedet väntar angriparen tills användarna är online igen för att sedan kryptera även deras filer.

Exempel på vanliga krypteringstyper:

  • AES – står för Advanced Encryption Standard (Rijndael) och är en standard som skapats av amerikanska National Institute of Standards and Technology. Nycklarna kan vara 128, 192 eller 256 bitar (ju högre siffra, desto mer komplex är krypteringen).
  • RSA – är ett system för offentliga nycklar som utvecklades 1977. Namnet består av initialerna i de tre skaparnas namn: Rivest-Shamir-Adleman. De är oftast 1 024 eller 2 048 bitar långa, vilket gör dem svåra att knäcka.

5. Krav

I den sista fasen framförs utpressningskraven i form av ett utpressningsmeddelande. Det kan ske via ett meddelande som visas vid start eller ett dokument som placeras på ett skrivbord eller där de krypterade filerna finns. Lösesumman anges ofta tillsammans med betalningsinstruktioner. Vissa anger även ett förfallodatum eller en nedräkning, där lösesumman ökar med tiden eller där man hotar med permanent borttagning av filerna om betalningen inte sker i tid.

Vid det här laget har utpressningstrojanen slutfört sitt uppdrag.

Grafik som visar ett krypterat dokument till vänster och ett krav från en utpressningstrojan och en nedräkning till höger.

Olika typer av utpressningstrojaner för Linux

Tycoon

Den första iakttagelsen av Tycoon gjordes 2019. Den används oftast för attacker mot små och medelstora företag och organisationer inom högre utbildning. Den kan infektera både Linux- och Windows-enheter.

Systemåtkomst uppnås med hjälp av ett ZIP-arkiv som innehåller en skadlig Java-bildfil. Därefter används ett oskyddat fjärrskrivbordsprotokoll för att köra Java-objektet, som krypterar systemet och lämnar ett utpressningsmeddelande.

Vid attackerna erbjuds normalt sett ett fönster på 60 timmar för betalning i Bitcoin. I vissa fall ökar beloppet för varje dag.

QNAPCrypt

En sådan här attack fokuserar på enheter med Linux-baserad, nätverksansluten lagring (NAS, Network-Attached Storage). Spridningen sker oftast genom falska uppdateringar och infekterade filer, till exempel via ZIP-arkiv.

QNAPCrypts ingångsport är felaktig autentisering av en SOCKS5-proxy (ett alternativ till ett VPN som skyddar datapaket under överföring) och har en låg identifieringstakt. Så fort ett system har skadats begär den skadliga koden en Bitcoin-plånbok och en publik RSA-nyckel från hackarens server innan den krypterar offrets data.

När krypteringen är klar lämnas utpressningsinformationen i en .txt-fil. Varje offer tilldelas en unik Bitcoin-plånbok att betala lösesumman i, vilket hjälper angriparna att undvika upptäckt.

RansomEXX

RansomEXX (även känt som Defrat777) har under de senaste åren blivit en av de vanligaste typerna av utpressningstrojan på Linux-enheter. Den började som en skadlig Windows-kod men har i allt högre utsträckning använts för att angripa Linux-servrar – där de mest uppmärksammade exemplen är den Brasilianska regeringen, Transportmyndigheten i Texas och universitetssjukhuset i Brno i Tjeckien.

Den här typen av utpressningstrojaner kallas för ”storviltsjägare”, eftersom de ofta riktas mot större organisationer och myndigheter i försök att framtvinga betalningar av större lösesummor. I stället för att angripa flera slutpunkter riktar sig den skadliga koden direkt mot servern, där den begränsar åtkomsten till filerna hos källan – vilket gör Linux-servrar till ett prioriterat mål för den här typen av attacker.

RansomEXX levereras ofta via ett e-postmeddelande som innehåller ett skadligt Word-dokument. När dokumentet öppnas laddas en trojan ned till användarens system, där den krypterar filer och genererar en 256-bitars krypteringsnyckel. Nyckeln krypteras sedan på nytt en gång i sekunden.

Erebus

Erebus förekom för första gången år 2016 som en Windows-baserad utpressningstrojan. Den användes för första gången mot Linux-system år 2017 för en högprofilerad attack mot det sydkoreanska webbvärdföretaget NAYANA. 153 Linux-servrar och över 3 400 företagswebbplatser drabbades. Lösesumman på 1 miljon USD i Bitcoin innebar ett nytt rekord i högsta utbetalda belopp.

Erebus fungerar genom att användaren klickar på skadliga länkar eller öppnar infekterade bilagor i e-postmeddelanden. Den kan också ta sig in i ett system med hjälp av skadlig programvara, till exempel falska installationsprogram.

Utpressningstrojanen söker efter ett stort antal olika filtyper att kryptera, däribland databaser, arkiv och dokument. Krypteringsprocessen är svår att knäcka, eftersom den använder en blandning av tre olika kryptografisystem (RSA-2048, AES och RC4). Utpressningstrojanen raderar dessutom volymskuggkopior av operativsystemet, vilket gör det ännu svårare att återställa.

KillDisk

KillDisk är en annan utpressningstrojan som började med Windows men som senare anpassats för Linux. Linux-versionen av KillDisk krypterar varje fil med en unik uppsättning av 64-bitars krypteringsnycklar. Därefter hindrar den systemet från att startas genom att skriva över dess bootloader och i stället visa ett utpressningsmeddelande över hela skärmen där användaren uppmanas att betala i Bitcoin.

Linux-versionen av KillDisk skiljer sig från Windows på följande sätt: De nycklar som krävs för att kryptera data lagras inte lokalt och skickas inte till en server under en Linux-attack, vilket innebär att krypteringsverktyget sannolikt skrivits för att vara destruktivt snarare än för utpressning. Om det inte finns någon krypteringsnyckel kan filerna troligtvis aldrig återställas, oavsett om lösesumman betalas eller inte.

Skydd mot utpressningstrojaner på Linux

Utpressningstrojaner för Linux är ett växande hot, i synnerhet för företagsanvändare. Här är några exempel på åtgärder som du bör vidta för att skydda ditt företag mot attacker från utpressningstrojaner:

  • Installera uppdateringar regelbundet. Alla servrar och slutpunkter ska hållas uppdaterade. Säkerhetsuppdateringar och korrigeringar av programvara ska alltid installeras så fort de blir tillgängliga.
  • Utbilda personalen i cybersäkerhet. För att minska risken för mänskliga fel är det viktigt att samtliga medarbetare har en grundläggande utbildning i cybersäkerhet. Avasts cybersäkerhetsquiz hjälper dig att ta reda på medarbetarnas kunskapsnivå och att identifiera svaga punkter som kan förbättras med utbildning.
  • Begränsa åtkomstbehörigheter. Användarnas kontobehörigheter ska begränsas till ett minimum i enlighet med gällande principer. Alla har enbart åtkomst till de filer och program som är nödvändiga för att de ska kunna utföra sitt arbete.
  • Säkerhetskopiera data. Att ha skyddade säkerhetskopior av data är avgörande för att minimera den potentiella skadan vid en attack.
  • Upprätta en säkerhetsstrategi. Många attacker förlitar sig på mänskliga fel för att få tillgång till nätverk. Den här risken kan minskas avsevärt genom införandet av en säkerhetsstrategi som omfattar utbildning av medarbetarna, implementering av säkerhetsprogram och införande av rekommenderade metoder för starka lösenord, säker e-postanvändning och slutpunktssäkerhet.
  • Utför regelbundna inspektioner och sårbarhetsutvärderingar. Systemen bör övervakas och utvärderas med jämna mellanrum. Händelseloggar ska granskas som en del i processen för att upptäcka misstänkt aktivitet.
  • Ha en åtgärdsplan. På samma sätt som ett kontor har en brandsäkerhetsplan ska även en strategi för utpressningstrojaner finnas på plats för att se till att medarbetarna vet vad de ska göra i händelse av en attack. Syftet är att minimera skadorna och säkerställa smidig återställning.

Läs mer i artikeln ”Så skyddar du din Linux-server”.

Avancerade antivirusprogram för Linux-servrar

Även om Linux erbjuder några av marknadens bästa OS-säkerhetsfunktioner, så räcker det inte i sig för att skydda dina företagsdata och -servrar. Skydda ditt företag med dedikerade säkerhetsfunktioner för skadlig Linux-kod och slutpunktsskydd.

Stäng

Nästan klart!

Slutför installationen genom att klicka på den nedladdade filen och följa anvisningarna.

Initierar nedladdning …
Obs! Klicka här om nedladdningen inte påbörjades automatiskt.
Klicka på den här filen för att starta installationen av Avast.