¿Los sistemas Linux necesitan antivirus contra ransomware? [cerrado]

En realidad, hay varias partes de la pregunta:

1. ¿Linux está afectado por malware y especialmente por ransomware?
2. ¿Existen productos antivirus para Linux?
3. ¿Estos productos ayudan contra esta amenaza?

Para contestar la primera:
Sí, hay malware para Linux y también hay ransomware. En la actualidad, generalmente se propaga de una manera diferente en comparación con Windows: el malware en Windows se distribuye principalmente por correo electrónico y web de phishing y utiliza vulnerabilidades y características específicas de la plataforma, es decir, actualmente el host de scripting de Windows, macros en documentos de Office y vulnerabilidades en Office. En los sistemas Linux, en lugar de eso, generalmente se instala atacando el servidor, a menudo usando problemas de seguridad en Wordpress y otros CMS. Pero esto se debe principalmente a que el uso de Linux por parte del servidor es grande, mientras que el uso de escritorio todavía es raro. Las capacidades y vulnerabilidades necesarias para difundir el ransomware de manera similar a Windows a menudo también existen en Linux, aunque algunas diferencias (como la necesidad de establecer explícitamente los permisos de los archivos ejecutables) dificultan algunas explotaciones.

En cuanto al segundo, es decir, son los productos antivirus para Linux:
Hay productos gratuitos como ClamAV y productos comerciales disponibles.

Y, finalmente, ¿estos antivirus ayudan contra el malware / ransomware que se dirige a Linux?
En su mayoría no lo hacen. Estos productos antivirus se preocupan principalmente por la protección contra ataques dirigidos a Windows y, por lo general, se utilizan para escanear archivos o correos que pueden ser enviados a sistemas Windows. Por lo tanto, son útiles, por ejemplo, en un servidor de correo o servidor de archivos y también en un servidor web para asegurarse de que el servidor no se utiliza para propagar malware. Pero ni siquiera protegen completamente contra ataques dirigidos a Windows. Es posible que tengan algo de código para detectar algún malware bien conocido (y en ocasiones solo una prueba de concepto) contra Linux, pero no lo protegerán contra cosas nuevas. También hay productos que analizan las huellas del compromiso existente del sistema y, a veces, se denominan antivirus pero a menudo no.

La mejor forma de protegerse de la manipulación de datos es hacer copias de seguridad en una máquina que proporcione almacenamiento de solo apéndice.

El caso más simple de esto son los servidores de archivos de registro: hay un único enlace serie al que puede enviar datos, que se marca y se almacena; de lo contrario, el sistema no interpreta los datos y no hay una interfaz de comandos en el enlace serial.

Para copias de seguridad completas, dedico una máquina que se conecta a las otras, obtiene activamente el estado actual y lo archiva directamente, posiblemente deduplicando con versiones anteriores. Los clientes no tienen forma de contactar con este sistema de ninguna manera, todos los puertos TCP están cerrados desde el exterior.

Este sistema tiene un excelente punto de ventaja para no solo proporcionar versiones anteriores, sino que también se puede usar para detectar manipulaciones: los autores de malware tienen la opción de ocultar el malware de este sistema (para que tenga un respaldo limpio) , o incluyéndolo (que permite que un sistema antivirus que se ejecuta en el servidor de respaldo lo detecte).

Linux es seguro pero no es perfecto.

El malware de Linux existe y hay un ejemplo: WordPress- Se distribuyeron ransomware y distribuciones de Linux pirateado que describen cómo una máquina Linux se infectará con un ransomware mediante la explotación de una vulnerabilidad del programa.

  

¿Cómo funciona?

     

Un sitio de WordPress es hackeado a través de cualquier método disponible. Eso puede ser un ataque de adivinación de contraseña de fuerza bruta o mediante la explotación de una vulnerabilidad en un complemento, tema o núcleo.

     

El atacante instala código en el sitio de WordPress que redirige a los visitantes a otros sitios web infectados que ejecutan el kit de explotación nuclear. Las redirecciones pueden suceder a través de una serie de sitios web para intentar evitar que los navegadores web y Google le adviertan que un sitio está infectado. Los sitios involucrados en la redirección cambian con frecuencia.

     

Cuando se redirige a un visitante del sitio infectado, el kit de explotación nuclear busca vulnerabilidades en el complemento Flash del visitante del sitio, Microsoft Silverlight, Adobe Reader o Internet Explorer.

     

Si Nuclear encuentra una vulnerabilidad, explota la máquina del visitante e instala el TeslaCrypt Ransomware.

     

El ransomware luego cifra todos los archivos en la estación de trabajo y extorsiona al propietario para que pague y descifre su sistema.

Un segundo ejemplo: el Linux.Encoder.1 desarrollado por Dr.Web

¿Por qué no necesita un programa antivirus en Linux?

porque instaló sus programas desde repositorios de confianza y su sistema se actualiza con frecuencia para solucionar las fallas de los programas

con el software de fuentes abiertas, los códigos de las fuentes están disponibles para todos y pueden ser probados, parchados por expertos y desarrolladores.

¿Por qué necesita un antivirus?

El antivirus puede ser útil:

• Para escanear correos electrónicos en busca de virus.

• Si tiene wine instalado en su sistema para ejecutar sus favoritos software de Windows.

• Si tiene una máquina Windows en su red.

• Para escanear un disco duro de Windows.

• Para escanear un archivo antes de enviarlo a máquinas con Windows.

La forma fácil de vencer el ransomware en cualquier sistema operativo es tener una copia de seguridad actualizada periódicamente.

Esta respuesta es específica para su escenario y no se aplica a todos los sistemas Linux en general:

No necesita protección antivirus en su configuración. Puedes agregarlo si te hace dormir mejor, pero es poco probable que aumente tu seguridad de forma considerable.

Su sistema es esencialmente un almacén de archivos. A menos que no haya mencionado detalles importantes sobre el sistema, no tiene una superficie de ataque externa (es decir, no está conectado a Internet, no ejecuta ningún otro servicio y nadie lo utiliza como computadora de escritorio o de trabajo).

No veo formas realistas de ejecutar un malware en esta máquina. Sí, su servicio de intercambio de archivos podría tener una vulnerabilidad, pero el malware tendría que infectar otra máquina en la red primero y luego atacar esa vulnerabilidad, y aunque no es imposible, parece poco probable.

Además, estoy seguro de que mantendrá una copia de seguridad secundaria externa si está pensando en una solución de copia de seguridad sólida. Asegure la legibilidad de esa copia de seguridad secundaria con una prueba de lectura antes de enviarla fuera del sitio e incluso si algo le sucede a su servidor de copia de seguridad, simplemente puede borrarla y obtener la copia de seguridad fuera del sitio.