Skadevare til Linux øker kraftig – dette er årsaken

Trenden går skarpt oppover, sier Crowdstrike i en ny rapport.

Skadevare til Linux øker kraftig – dette er årsaken
Linux opplever sterk vekst i skadevare, sier sikkerhetsselskapet Crowdstrike. Illustrasjonsfoto: Colourbox/24537479

Linux-plattformen har av mange blitt ansett som en vesentlig sikrere plattform enn både Windows og macOS, men nå har også Linux-folket grunn til å trappe opp årvåkenheten overfor skadevare-trusselen. Det kommer frem i en ny rapport.

IT-sikkerhetsselskapet Crowdstrike har nemlig samlet inn data som viser at Linux-plattformen opplever en kraftig økning i forekomsten av ondsinnet programvare.

35 prosent økning

I 2021 økte mengden Linux-skadevare med hele 35 prosent sammenlignet med året før. Den primære drivkraften bak veksten er ifølge selskapet at ondsinnede aktører i økende grad retter seg mot IoT-enheter («tingenes internett») – som ofte benytter Linux-baserte operativsystemer.

Med tanke på at IoT-produkter opplever en eksplosiv vekst globalt, er trenden dermed temmelig urovekkende.

– Mer enn 30 milliarder IoT-enheter er ventet å være tilkoblet internett innen utgangen av 2025, noe som skaper en potensielt svært stor angrepsflate for trusler og cyberkriminelle til å bygge massive botnett, skriver Crowdstrike.

Sikkerhetsselskapet har identifisert tre skadevarefamilier som er de mest prominente på Linux-plattformen; XorDDoS, Mirai og Mozi. Disse stod alene for 22 prosent av de Linux-truslene selskapet registrerte i løpet av fjoråret.

XorDDoS er en trojaner som er designet for både ARM-, x86- og x64-arkitekturene og som setter ondsinnede aktører i stand til å fjernkontrollere sårbare enheter. Den har blitt brukt til å utføre flere kraftige tjenestenektangrep (DDoS).

Mirai fremdeles på ferde

Trend Micro har også omtalt denne skadevaren og skriver at den blant annet kan stjele informasjon, laste ned filer og har rootkit-egenskaper. XorDDoS-forekomsten økte ifølge Crowdstrike med solide 123 prosent i fjor. 

Mozi er et «peer-to-peer»-botnett som hovedsakelig benytter seg av nettopp IoT-enheter til å bygge ut nettverket sitt. Skadevaren er tidligere blitt omtalt av blant andre Microsoft, som i fjor opplyste at Mozi fungerer ved å utnytte svake telnet-passord og et dusin IoT-sårbarheter.

Den brukes både til å utføre DDoS-angrep, hente ut data og laste andre typer skadevare. Programvaren har den uvanlige egenskapen at den benytter seg av DHT-protokollen (distributed hash table) til å bygge nettet sitt.

Crowdstrike observerte hele ti ganger flere Mozi-eksemplarer i 2021 enn året før.

Mirai er et kjent navn i botnett-verdenen og har blant annet blitt brukt til å utføre noen av de kraftigste tjenestenektangrepene noensinne, som Digi.no rapporterte i fjor. Denne bryter seg inn på systemer gjennom svake protokoller og passord.

Flere detaljer om funnene kan du finne i Crowdstrikes egen rapport.

Les også

Les mer om: