Poco después de llegar a Colonial Pipeline, los desarrolladores de Darkside anunciaron que cerrarían operaciones. Sin embargo, los investigadores de AT&T Alien Labs han observado evidencia de que el grupo ha completado una versión para Linux de su malware.
El mismo tiene como objetivo los servidores ESXi que alojan máquinas virtuales VMware. Hasta este punto, los autores anunciaron la versión Darkside 2.0 con capacidades de Linux.
«Los servidores Linux y UNIX siempre han sido una opción preferida para servidores y centros de datos, probablemente debido a la pequeña superficie de ataque de los servidores, las configuraciones ajustadas y la falta de interacción del usuario», dijo Ofer Caspi, investigador de seguridad de AT&T Alien Labs, parte de AT&T Cybersecurity en un blog sobre el tema. “Sin embargo, a menudo se configuran y luego se olvidan, se quedan sin mecanismos de detección o protección. Esto los hace muy atractivos para los atacantes. Al infectar servidores de virtualización desprotegidos, los atacantes pueden realizar ataques devastadores a las empresas, eliminando todos los servicios de una empresa con una sola infección».
A diferencia del ransomware común de Linux, que en su mayoría comprime archivos con una contraseña, Darkside cifra los archivos mediante bibliotecas de cifrado.
Es probable que esto haga que la recuperación sea imposible sin la clave de cifrado, si se implementa correctamente.
Caspi aconseja:
- Mantener el software actualizado con los parches de seguridad.
- Supervisar y gestionar cuidadosamente los correos electrónicos sospechosos.
- Utilizar un sistema de respaldo para los archivos del servidor.
- Instalar Antivirus y / o detección y respuesta de endpoints (EDR) en todos los endpoints.
- Asegurarse de que la autenticación de dos factores esté habilitada en todos los servicios.
Fuente: