Kaspersky advierte un aumento constante de ataques contra sistemas usados en trabajo, servidores y dispositivos personales.

América Latina se ha consolidado como una de las regiones más impactadas por los ciberataques dirigidos a sistemas Linux y Mac, según el Panorama de Amenazas de Kaspersky. Entre agosto de 2024 y julio de 2025, se registraron 726 mil ataques bloqueados en sistemas Linux, lo que representa un promedio de 2 mil ataques diarios en la región.

En el caso de los computadores de Apple con sistema Mac, se contabilizaron 431.811 ataques, con un promedio de 1.183 intentos de ataque por día. A continuación, se detallan los países más afectados, los tipos de amenazas más frecuentes y recomendaciones para mantenerse protegido.

Entre el periodo mencionado, Argentina registró 32 mil  ataques bloqueados en sistemas Linux. En cuanto a los sistemas Mac, se detectaron 9600 intentos de ataque, lo que refleja el interés creciente de los ciberdelincuentes en este tipo de dispositivos en el país.

Entre los países más impactados por ataques a sistemas Linux en la región se encuentran Brasil (385 mil), Chile (116 mil), México (100 mil), Colombia (67 mil) y Perú (42 mil). Por su parte, los ataques dirigidos a sistemas Mac afectaron principalmente a Brasil (180 mil), México (84 mil), Ecuador (35 mil), Colombia (33 mil) y Perú (33 mil).

Fabio Assolini, director del Equipo Global de Investigación y Análisis de Kaspersky para América Latina, explica: “Antes se creía que estos sistemas eran inherentemente más seguros, pero esa premisa ya no se sostiene frente a la sofisticación de los atacantes. El alto uso de Linux en infraestructuras críticas, servidores y dispositivos IoT lo convierte en un objetivo clave. De igual forma, la creciente popularidad de los computadores Apple con sistema Mac atrae la atención de los ciberdelincuentes”.

“Es fundamental que empresas, organismos públicos y usuarios adopten una postura proactiva en materia de seguridad. La protección no es opcional, sino una necesidad constante. Mantener los sistemas actualizados, utilizar soluciones confiables y emplear contraseñas seguras siguen siendo medidas básicas pero esenciales”, concluye Assolini.

Kaspersky ofrece algunos consejos sencillos para proteger sus sistemas:

• Mantenga las actualizaciones más recientes: Instale siempre las actualizaciones de su sistema operativo (Linux, Mac) y de los programas.
• Contraseñas fuertes y únicas: Evite contraseñas débiles y fáciles de adivinar. Use contraseñas complejas y no repita la misma contraseña en varios lugares. Los gestores de contraseñas pueden ayudar.
• Use un firewall: Es una barrera que impide accesos no autorizados a su computadora.
• Utilice una solución de seguridad integral: Elija una solución de seguridad confiable que ofrezca protección contra malware, exploits y otras amenazas.
• Monitoree los registros del sistema: Revise los registros automáticos de las actividades del equipo para identificar comportamientos sospechosos.
• Aprenda sobre seguridad: Infórmese sobre las nuevas amenazas y cómo protegerse.

Origen

El panorama de ciberamenazas se intensifica en 2025: cada vez más empresas enfrentan exploits dirigidos a usuarios de Windows y Linux.

Nuevos datos de Kaspersky revelan que el volumen de vulnerabilidades reportadas por cve.org alcanzó niveles más altos que en años anteriores, impulsando el uso de exploits como herramienta clave para el acceso no autorizado a sistemas corporativos.

Un exploit es un tipo de malware diseñado para aprovechar un error o vulnerabilidad existente en una aplicación o sistema operativo con el fin de obtener acceso no autorizado a los sistemas. El reciente Informe de Kaspersky Exploits y Vulnerabilidades en el Segundo Trimestre de 2025 muestra que la proporción de exploits dirigidos a vulnerabilidades críticas en sistemas operativos alcanzó el 64% en el segundo trimestre de 2025 (frente al 48% en el primer trimestre de 2025), seguidos de aplicaciones de terceros (29%) y navegadores (7%).

El número de usuarios de Linux que se enfrentaron a exploits muestra una tendencia al alza en 2025 en comparación con 2024. En concreto, en el segundo trimestre de 2025 la cifra fue más de 50 puntos superior a la del segundo trimestre de 2024, y en el primer trimestre de 2025 fue casi el doble respecto al mismo periodo de 2024.

El número de usuarios de Windows que se encontraron con exploits también mostró una tendencia al alza en el primer y segundo trimestre de 2025: hubo un crecimiento de 25 puntos en el primer trimestre de 2025 en comparación con el mismo periodo de 2024, y un crecimiento de 8 puntos en el segundo trimestre de 2025 frente al segundo trimestre de 2024.

Entre las vulnerabilidades utilizadas en ataques avanzados (Advanced Persistent Threat, APT) se encuentran tanto 0-days recientes como vulnerabilidades ya conocidas y parcheadas recientemente. En la mayoría de los casos, se trata de herramientas para acceder al sistema y escalar privilegios. Información más detallada está disponible en el informe publicado en Securelist.

Los atacantes utilizan cada vez más métodos para escalar privilegios y aprovechar debilidades en los sistemas digitales. A medida que crece el número de vulnerabilidades, resulta muy importante dar prioridad constante a la corrección de vulnerabilidades conocidas y utilizar software que pueda mitigar las acciones posteriores a la explotación. Los CISOs deben contrarrestar las consecuencias de la explotación buscando y neutralizando implantes de comando y control que los atacantes pueden aprovechar en un sistema comprometido”, advierte Fabio Assolini, director del equipo de Global de Investigación y Análisis para América Latina en Kaspersky.

De acuerdo con cve.org, tanto el número de vulnerabilidades críticas como el total de CVE registrados (Common Vulnerabilities and Exposures por sius siglas en inglés) se dispararon en la primera mitad de 2025. A inicios de 2024 había alrededor de 2,600 CVE registrados mensualmente, una cifra que fue aumentando a lo largo del año. En comparación, en 2025 ya se registran más de 4,000 CVE al mes.

Para que las organizaciones puedan protegerse en este panorama de amenazas en constante cambio, Kaspersky recomienda: 

• Investigar los exploits de vulnerabilidades únicamente dentro de entornos virtuales seguros o controlados, para evitr así riesgos en los sistemas reales de las empresas y comprender cómo operan estas amenazas antes de que puedan ser utilizadas por atacantes.
• Garantizar la supervisión 24/7 de la infraestructura, con especial atención a las defensas perimetralespara detectar de inmediato accesos sospechosos o intentos de intrusión antes de que se comprometan los sistemas críticos.
• Asegurarse de que la gestión de parches o las medidas de compensación para aplicaciones de cara al público tengan tolerancia cero. Para la seguridad de la infraestructura de una empresa es crucial aplicar las actualizaciones de las vulnerabilidades que emiten los proveedores de software, así como analizar la red en busca de vulnerabilidades e instalar parches.
• Implementar soluciones confiables para detectar y bloquear software malicioso en los dispositivos corporativos, complementadas con herramientas integrales que incluyan escenarios de respuesta a incidentes, programas de capacitación para empleados y una base de datos de ciberamenazas actualizada.

Origen

A finales de marzo, se descubrió la implantación de un backdoor (puerta trasera) en XZ, el conjunto de herramientas de compresión de datos integrada en muchas distribuciones populares de Linux. El análisis inicial reveló que es extremadamente sofisticada en términos de ejecución, evasión (proceso que evita su detección por parte de las soluciones de seguridad) e impacto (potenciales pérdidas para las organizaciones) en servidores SSH. Dado que las utilidades troyanizadas de Linux lograron abrirse camino en varias versiones populares que se lanzaron en marzo, esta vulnerabilidad (CVE-2024-3094) podría considerarse como un grave ataque a la cadena de suministro.

El ataque inició al comprometer la biblioteca de la herramienta XZ, la cual incluye archivos para probar el código de compresión y descompresión de datos para asegurarse de que este funciona. Los especialistas de Kaspersky explican que los atacantes se dieron cuenta de esto y agregaron dos archivos de prueba que ocultan el código para implantar un backdoor, permitiendo a los invasores controlar las máquinas en las que esta biblioteca esté instalada. También es posible utilizar este backdoor para otros tipos de ataques, dependiendo de la intención de los criminales.

Según expertos de Kaspersky, la vulnerabilidad CVE-2024-3094 podría haberse convertido en el ataque a mayor escala al ecosistema Linux de la historia, ya que estaba principalmente dirigido a servidores SSH, la principal herramienta de gestión remota de todos los servidores de Linux en internet. Afortunadamente, fue detectada en las distribuciones en situación de prueba y en desarrollo, donde se utilizaron los últimos paquetes de software, lo que mantuvo a salvo a un gran número de usuarios de Linux.

"La implementación del backdoor se realizó de manera muy sigilosa, lo que dificultó su identificación por parte de la comunidad de software de código abierto (OSS). Los códigos del backdoor también son altamente complejos. La manera en que la infección utiliza códigos legítimos para tareas maliciosas también es muy inteligente y demuestra la familiaridad del invasor (desarrollador) con el sistema operativo objetivo. Nuestra experiencia en amenazas de Linux fue esencial para comprender rápidamente cómo ocurre la infección", afirma Anderson Leite, investigador de seguridad de Kaspersky.

Tras su detección y análisis, los expertos de Kaspersky aseguran que los clientes de la empresa no se verán afectados por esta vulnerabilidad. Las tecnologías de la empresa detectan esta amenaza con el nombre HEUR:Trojan.Script.XZ.a y Trojan.Shell.Xz.a. Además, la solución de protección de la empresa para Linux también detecta el proceso malicioso SSHD en la memoria como MEM:Trojan.Linux.XZ.a (como parte del escaneo de áreas críticas).

Información adicional está disponible en el blog técnico Securelist o en los informes de Threat Intelligence de la empresa.

Origen

En el vasto paisaje de la tecnología, Linux ha emergido como una fuerza disruptiva y revolucionaria. Muchas veces mencionado y citado como un nuevo sistema que surgió como novedad en materia de open source, accesible y sin costos, Linux es, en resumen, un sistema operativo. Esto significa que es el marco sobre el que corren los programas, servicios y aplicaciones que permiten a nuestros ordenadores y dispositivos realizar cualquier tarea. Creado por Linus Torvalds en 1991, no solo representa una alternativa a los sistemas comerciales tradicionales, sino que encarna una filosofía única: el código abierto.

Sin un software que les indique a las computadoras cómo funcionar, estas no son más que cajas de silicio, cobre, litio y plástico. Los programas son instrucciones que explican cómo funcionar y desarrollar tareas, pero para que estos siquiera corran hace falta un marco estandarizado que indique cuáles son las partes relevantes en cada momento, de dónde se toman los datos, y más. Esta parte de “fondo” la gestionan los sistemas operativos como Windows, macOS, y la alternativa de código abierto Linux, que es una de las más especializada y elegida para el uso empresarial.

El corazón de Linux late al ritmo del código abierto, un concepto que se fundamenta en la transparencia, la colaboración comunitaria y la libertad. En contraste con los sistemas operativos propietarios, el código abierto permite que el código fuente de un software esté disponible para su inspección, modificación y distribución por parte de cualquier persona. Esto permite que la comunidad se autorregule y pueda gestionar sus necesidades de seguridad y rendimiento con ideales como hacer que funcione en la mayor cantidad de infraestructura posible o optimizar el rendimiento.

Linus Torvalds concibió Linux con la idea de crear un sistema operativo que no sólo fuera accesible para todos, sino que también permitiera a los usuarios y desarrolladores contribuir y mejorar continuamente su funcionamiento. Así nació una comunidad global de programadores apasionados que moldean el crecimiento y la evolución de este sistema desde sus inicios.

La esencia del código abierto impregna cada fibra de Linux. Su robustez, seguridad y flexibilidad son el resultado directo de esta filosofía colaborativa. Además de ser un sistema operativo establecido en computadoras personales, servidores y dispositivos móviles, Linux también se ha extendido a dominios menos convencionales, como la infraestructura de la nube y la Internet de las cosas (IoT). Incluso, mucha de la tecnología que le da poder a los servidores en la nube y almacenan las aplicaciones o datos de los servicios que usamos todos los días emplean Linux de fondo para optimizar rendimiento y seguridad. 

"El código abierto, como lo encarna Linux, ofrece a las empresas una ventana a un ecosistema colaborativo donde la adaptabilidad y la personalización son pilares fundamentales. Esta transparencia y flexibilidad permiten tomar las riendas de su tecnología y adaptarlas a sus necesidades específicas para crear experiencias más personalizadas y optimizables," comenta Jorge Payró, Country Manager de Red Hat para Argentina.

Linux, un testimonio vivo del poder del código abierto, continúa desafiando las convenciones y estableciendo nuevos estándares en la industria tecnológica. Su presencia diversificada y su constante evolución no sólo da forma a los sistemas informáticos modernos, sino que también inspiró una nueva forma de concebir y desarrollar software en un mundo cada vez más interconectado y colaborativo.

Origen

Kaspersky descubrió una campaña maliciosa en la que se empleó un instalador del software Free Download Manager para difundir una puerta trasera de Linux durante un mínimo de tres años. Los investigadores descubrieron que las víctimas se infectaron al descargar el software del sitio web oficial, lo que indica que se trata de un posible ataque a la cadena de suministro. Las variantes del malware utilizado en esta campaña se identificaron por primera vez en 2013. Las víctimas están ubicadas en varios países, entre ellos, Brasil, China, Arabia Saudita y Rusia.

Los expertos de Kaspersky identificaron que en esta campaña los agentes de amenazas implementaron un tipo de troyano en los dispositivos de las víctimas utilizando una versión infectada del popular software gratuito Free Download Manager. Una vez infectados, el objetivo de los atacantes es robar información como detalles sobre el sistema, historial de navegación, contraseñas guardadas, archivos de billeteras de criptomonedas e incluso, credenciales para servicios en la nube, como Amazon Web Services o Google Cloud.

Los investigadores creen que es probable que se trate de un ataque a la cadena de suministro. Durante la investigación sobre las guías de instalación de Free Download Manager en YouTube para computadoras Linux, encontraron ejemplos en los que los creadores de vídeos mostraron, sin darse cuenta, el proceso de infección inicial: al hacer clic en el botón de descarga en el sitio web oficial, se instalaba una versión maliciosa de Free Download Manager. Por el contrario, en otro video se descargó una versión legítima del software. Es posible que los programadores de malware hayan escrito la redirección maliciosa de manera que aparezca con cierto grado de probabilidad o basándose en la huella digital de la víctima potencial. Como resultado, algunos usuarios encontraron un paquete malicioso, mientras que otros obtuvieron uno limpio.

De acuerdo con los hallazgos de Kaspersky, la campaña duró por lo menos tres años, desde 2020 a 2022. El paquete malicioso instaló la versión Free Download Manager presentada en 2020. Además, durante este período, hubo conversaciones en sitios web como StackOverflow y Reddit acerca de los problemas causados por la distribución del software infectado. Sin embargo, los usuarios no sabían que estos problemas eran causados por una actividad maliciosa.

“Las soluciones de Kaspersky para Linux han logrado detectar variantes de la puerta trasera analizada desde 2013. Sin embargo, existe una idea errónea generalizada de que Linux es inmune al malware, lo que deja a muchos de estos sistemas sin una protección de ciberseguridad adecuada. Esa falta de protección hace que estos sistemas sean objetivos atractivos para los ciberdelincuentes. Esencialmente, el caso de Free Download Manager demuestra el reto que es detectar a simple vista un ciberataque en curso a un sistema Linux. Por lo tanto, es esencial que las computadoras basadas en Linux, tanto de escritorio como de servidor, implementen medidas de seguridad confiables y efectivas”, dice Georgy Kucherin, experto en seguridad del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky.

Para evitar amenazas basadas en Linux y de otro tipo, conviene implementar las siguientes medidas de seguridad:

• Proteger los endpoints con una solución de seguridad como Kaspersky Endpoint Security for Business, que esté equipada con detección basada en comportamiento y capacidades de control de anomalías para una protección efectiva contra amenazas conocidas y desconocidas.
• Utilizar Kaspersky Embedded Systems Security. Esta solución adaptable de varias capas proporciona seguridad optimizada para sistemas, dispositivos y escenarios integrados basados en Linux, de conformidad con los rigurosos estándares reglamentados que a menudo se aplican a estos sistemas.
• Dado que las credenciales robadas pueden ponerse a la venta en la darkweb, utilizar Kaspersky Digital Footprint Intelligence servirá para monitorear los recursos ocultos e identificar rápidamente las amenazas relacionadas.

El análisis técnico de la campaña está disponible en Securelist.

Origen

¡Amantes de Linux, prepárense para dar la bienvenida a la última versión del venerable Debian! Después de casi dos años desde la última actualización, llega Debian 12 "Bookworm" con una serie de novedades emocionantes. El clásico entre las distribuciones de Linux se destaca por su enfoque en la estabilidad, la previsibilidad y la fiabilidad, a diferencia de otras distribuciones más orientadas a lo último de lo nuevo. Pero eso no significa que Debian se haya quedado atrás en términos de innovación. ¡Veamos qué nos trae esta nueva versión!

El cambio más notable en Debian 12 es un verdadero hito para la comunidad: por primera vez, se incluye software no libre en el medio de instalación predeterminado. Esta decisión se basa en la realidad de que muchos sistemas actuales dependen de firmware propietario y controladores de gráficos específicos para un rendimiento óptimo. Ahora, la instalación de Debian en hardware moderno se simplifica enormemente. Sin embargo, aquellos que tengan reservas sobre el software no libre pueden optar fácilmente por excluir estos componentes durante la instalación.

Además de este cambio filosófico, Debian 12 trae consigo una serie de mejoras estructurales. Por ejemplo, el gestor de arranque Grub ya no crea automáticamente entradas para otros sistemas operativos, lo cual puede ser desafortunado para algunos, pero también ha resuelto problemas de compatibilidad. La herramienta de registro Rsyslog ya no se utiliza de forma predeterminada, dando paso a las posibilidades de journalctl, que forma parte de systemd. Estos y otros cambios se detallan en las notas de la versión para aquellos interesados en conocer más detalles.

Por supuesto, la esencia de cada nueva versión de Debian radica en las actualizaciones de los componentes de software incluidos. Y en este aspecto, Debian 12 no decepciona. El kernel de soporte a largo plazo ahora se encuentra en su versión 6.1, superando al 5.10 presente en Debian 11. Sorprendentemente, esto significa que Debian 12 cuenta con un kernel más actualizado que algunos teléfonos inteligentes Android. En cuanto al escritorio predeterminado, GNOME 43 se roba el protagonismo en esta versión. Con Debian 12, los usuarios disfrutarán de una versión casi actual de GNOME, con numerosas funciones nuevas, mejoras de rendimiento y cambios en programas clave. El servidor de audio Pipewire también hace su aparición en esta versión.

Si bien GNOME es el escritorio predeterminado, Debian 12 ofrece una amplia variedad de opciones para aquellos que prefieren otros entornos de escritorio. KDE Plasma 5.27, Mate 1.26 y Xfce 4.18 son solo algunas de las muchas alternativas disponibles. En cuanto al software incluido, se destaca la presencia de LibreOffice 7.4, una versión más actualizada que la anteriormente incluida en Debian 11, así como el cliente de bits torrent Transmission 3.0.

Más allá del escritorio, Debian 12 trae importantes innovaciones en otros aspectos. La actualización a GCC 12 y Glibc 2.36, junto con las versiones actualizadas de Nginx, Python y Samba, son solo algunas de las mejoras que encontrarán los usuarios de Debian. Además, se han agregado más de 11,000 nuevos paquetes a las fuentes de distribución desde Debian 11, lo que eleva el número total de paquetes individuales disponibles a 64,419. Aunque el crecimiento no es tan grande como podría parecer, alrededor del 10% de los paquetes ofrecidos anteriormente han sido marcados como obsoletos y se han eliminado.

Para aquellos interesados en probar Debian 12, el proceso de instalación se realiza a través de un archivo de descarga de 700 MB disponible en el sitio web oficial. Si bien el instalador gráfico puede no ser tan intuitivo como el de otras distribuciones como Ubuntu o Fedora, sigue siendo accesible con un poco de conocimiento básico. Es importante destacar que la imagen de instalación no contiene todos los paquetes disponibles en el universo Debian, pero los paquetes faltantes se pueden cargar según sea necesario.

Los usuarios de Debian existentes pueden actualizar directamente a Debian 12 desde su sistema actual, aunque se recomienda hacer una copia de seguridad antes del proceso. Aquellos cuyos sistemas se crearon antes de Debian 10 deben estar preparados para una reorganización significativa, ya que Debian ahora solo admite la jerarquía del sistema de archivos donde los directorios como /bin, /sbin y /lib están bajo /usr.

Debian 12 está disponible en una amplia gama de variantes y admite nueve arquitecturas de procesador diferentes, lo que garantiza que haya una opción adecuada para todos los usuarios. La versión actual de Debian tendrá soporte durante al menos cinco años, lo que significa que las actualizaciones se mantendrán hasta junio de 2028 como muy pronto. Además, el soporte general para Debian 11 continuará hasta julio de 2024, con soporte a largo plazo de al menos dos años más.

Con Debian 12 "Bookworm", la comunidad de Linux celebra otro hito en la historia de esta distribución icónica. La inclusión de software no libre en el medio de instalación predeterminado refleja la adaptabilidad y el enfoque pragmático de Debian para adaptarse a las necesidades cambiantes de los usuarios. A medida que los usuarios exploren las numerosas mejoras y actualizaciones, no cabe duda de que Debian seguirá siendo un referente en el mundo de Linux y una opción confiable para aquellos que buscan estabilidad y rendimiento. ¡Actualiza, explora y disfruta de Debian 12 "Bookworm"!

Descargar Debian 12

No se le llama a Debian «el sistema operativo universal» por nada. Debian 12 soporta una gran cantidad de arquitecturas diferentes, pero aquí te dejamos como siempre con los instaladores para PC.

• DVD – Descarga directa: 32-bit, 64-bit | Torrent: 32-bit, 64-bit.
• Cinnamon Live – Descarga directa: 32-bit, 64-bit | Torrent: 32-bit, 64-bit.
• GNOME Live – Descarga directa: 32-bit, 64-bit | Torrent: 32-bit, 64-bit.
• KDE Live – Descarga directa: 32-bit, 64-bit | Torrent: 32-bit, 64-bit.
• LXDE Live – Descarga directa: 32-bit, 64-bit | Torrent: 32-bit, 64-bit.
• LXQt Live – Descarga directa: 32-bit, 64-bit | Torrent: 32-bit, 64-bit.
• MATE Live – Descarga directa: 32-bit, 64-bit | Torrent: 32-bit, 64-bit.
• Xfce Live – Descarga directa: 32-bit, 64-bit | Torrent: 32-bit, 64-bit.

Origen

• El lector de documentos Xreader ahora admite anotaciones menores.
• Ahora puede pasar parámetros personalizados a los navegadores mientras usa WebApp.
• Gracias al equipo de Mint, todavía puedes disfrutar de Firefox como un paquete básico básico, no como la versión Snap (como en Ubuntu 22.04).
• El administrador de Bluetooth en Linux Mint ahora es Blueman, que reemplaza a Blueberry. Blueman trae más funciones y actualizaciones.
• El servicio Systemd OOM (sin memoria) está deshabilitado de forma predeterminada en Linux Mint desde que surgieron varios informes de eliminación prematura de procesos en Ubuntu 22.04 hace un tiempo.

Origen

Origen

El informe de VMware revela que más de la mitad de los usuarios de Cobalt Strike están utilizando la herramienta ilícitamente

Como el sistema operativo de nube más común, Linux es una parte fundamental de la infraestructura digital y se está convirtiendo rápidamente en el tiquete de acceso de los atacantes al  entorno de nubes múltiples. Las contramedidas actuales de malware se centran principalmente en como abordar las amenazas basadas en Windows, lo que deja a muchas implementaciones de nubes públicas y privadas vulnerables a ataques dirigidos a cargas de trabajo basadas en Linux.

VMware, Inc. (NYSE: VMW) publicó un informe sobre las amenazas titulado “Exponer malware en entornos de nubes múltiples basados en Linux”.⁽¹⁾ Entre las principales conclusiones que detallan cómo los cibercriminales utilizan el malware para atacar los sistemas operativos basados en Linux se incluyen:

• Ransomware está evolucionando para atacar imágenes de host de Linux utilizadas para hacer girar cargas de trabajo en entornos virtualizados;
• El 89% de los ataques de criptosecuestros utilizan bibliotecas relacionadas con XMRig; y
• Más de la mitad de los usuarios de Cobalt Strike pueden ser cibercriminales o, al menos, utilizar Cobalt Strike de forma ilícita.

“Los cibercriminales están ampliando drásticamente su alcance y añadiendo malware dirigido a los sistemas operativos basados en Linux a su kit de herramientas de ataque para maximizar su impacto con el menor esfuerzo posible”, afirmó Giovanni Vigna, director senior de inteligencia frente a amenazas de VMware. “En lugar de infectar una terminal y luego navegar hacia un objetivo de mayor valor, los cibercriminales han descubierto que poner en peligro un único servidor puede ofrecer una mayor recompensa y el acceso que buscan. Los atacantes consideran las nubes públicas y privadas como objetivos de gran valor debido al acceso que proporcionan a los servicios de infraestructura críticos y a los datos confidenciales. Lamentablemente, las actuales contramedidas relativas al malware se centran principalmente en como abordar las amenazas basadas en Windows, lo que hace que muchas implementaciones de nubes públicas y privadas sean vulnerables a los ataques contra sistemas operativos basados en Linux”.

A medida que el malware dirigido a sistemas operativos basados en Linux aumenta tanto en volumen como en complejidad en medio de un panorama de amenazas en constante cambio, las organizaciones deben dar mayor prioridad a la detección de amenazas. En este informe, la Unidad de Análisis de Amenazas de VMware (TAU)  analizó las amenazas a los sistemas operativos basados en Linux en los entornos de nubes múltiples: ransomware, criptomineros y herramientas de acceso remoto.

El ransomware apunta a la nube para infligir el máximo daño

Como una de las principales causas de incumplimiento para las organizaciones, un ataque de ransomware exitoso en un entorno de nube puede tener consecuencias devastadoras.⁽²⁾ Los ataques de ransomware contra las implementaciones en la nube están dirigidos y a menudo se combinan con la filtración de datos, implementando un esquema de extorsión doble que mejora las probabilidades de éxito. Un nuevo desarrollo muestra que el ransomware está evolucionando para atacar imágenes de host Linux utilizadas para hacer girar las cargas de trabajo en entornos virtualizados. Los atacantes buscan ahora los activos más valiosos en entornos de nube para infligir la máxima cantidad de daño al objetivo. Entre los ejemplos se incluyen la familia de ransomware Defray777, que encriptó imágenes de host en servidores ESXi, y la familia de ransomware DarkSide, que paralizó las redes de Colonial Pipeline y causó una escasez de gasolina en todo el país en los Estados Unidos

Los ataques de criptosecuestros usan XMRig para minar Monero

Los cibercriminales que buscan una recompensa monetaria instantánea a menudo atacan a las criptomonedas utilizando uno de dos enfoques. Los cibercriminales incluyen la funcionalidad de robo de carteras en malware o monetizan los ciclos de CPU robados para extraer con éxito criptomonedas en un ataque llamado criptosecuestro. La mayoría de los ataques de criptosecuestros se centran en la minería de la moneda Monero (o XMR) y VMware TAU descubrió que el 89% de los criptomineros utilizaban bibliotecas relacionadas con XMRig. Es por esto que, cuando se identifican las bibliotecas y módulos específicos de XMRig en los binarios de Linux, es probable que se produzca un comportamiento criptominero malicioso. VMware TAU también observó que la evasión de defensa es la técnica más utilizada por los criptomineros. Desafortunadamente, debido a que los ataques de criptosecuestros no interrumpen completamente las operaciones de entornos de nube como el ransomware, son mucho más difíciles de detectar.

Cobalt Strike es la herramienta de acceso remoto preferida por los atacantes

Para obtener el control y persistir en un entorno, los atacantes buscan instalar un implante en un sistema comprometido que les proporcione un control parcial de la máquina. El malware, los webshells y las herramientas de acceso remoto (RATs) pueden ser implantes utilizados por los atacantes en un sistema comprometido para permitir el acceso remoto. Uno de los implantes principales utilizados por los atacantes es Cobalt Strike, una herramienta de prueba de penetración comercial y equipo rojo, y su reciente variante Vermilion Strike basada en Linux. Dado que Cobalt Strike es una amenaza tan ubicua para Windows, la expansión al sistema operativo basado en Linux demuestra el deseo de los atacantes de utilizar herramientas de fácil acceso que se dirigen al mayor número posible de plataformas.

VMware TAU descubrió más de 14,000 servidores activos de Cobalt Strike Team en Internet entre febrero de 2020 y noviembre de 2021. El porcentaje total de ID de clientes de Cobalt Strike descifrados y filtrados es del 56%, lo que significa que más de la mitad de los usuarios de Cobalt Strike pueden ser cibercriminales o, al menos, utilizan Cobalt Strike de forma ilícita. El hecho de que RATs como Cobalt Strike y Vermilion Strike se hayan convertido en herramientas básicas para los cibercriminales representa una amenaza significativa para las compañías.

“Desde que realizamos nuestro análisis, se observó que aún más familias de ransomware gravitan al malware dirigido a sistemas basados en Linux, con el potencial de ataques adicionales que podrían aprovechar las vulnerabilidades Log4j”, dijo Brian Baskin, director de investigación de amenazas de VMware. “Los resultados de este informe se pueden utilizar para comprender mejor la naturaleza de este malware y mitigar la creciente amenaza que tienen el ransomware, el criptominado y las RATS en entornos de nubes múltiples. A medida que los ataques dirigidos a la nube sigan evolucionando, las organizaciones deben adoptar un enfoque de confianza cero para integrar la seguridad en toda su infraestructura y abordar sistemáticamente los vectores de amenazas que conforman su superficie de ataque”.

Descargue el informe completo aquí.

Metodología

La Unidad de Análisis de Amenazas de VMware (TAU) ayuda a proteger a los clientes de ciberataques mediante la innovación y la investigación de primera categoría. TAU está compuesto por analistas de malware, ingenieros de ingeniería inversa, cazadores de amenazas, científicos de datos y analistas de inteligencia de VMware. Para comprender cómo detectar y prevenir ataques que omiten las estrategias de prevención tradicionales centradas en archivos, TAU se centra en técnicas que en su momento eran el dominio de los hackers avanzados y que ahora están avanzando hacia el mercado de ataques de productos básicos. El equipo aprovecha el big data en tiempo real, el procesamiento de transmisión de eventos, el análisis estático, dinámico y de comportamiento y el aprendizaje automático.

TAU aplicó una composición de técnicas estáticas y dinámicas para caracterizar varias familias de malware observadas en sistemas basados en Linux basándose en un conjunto de datos curados de metadatos asociados con binarios de Linux. Todas las muestras de este conjunto de datos son públicas y, por lo tanto, se puede acceder fácilmente a ellas mediante VirusTotal o varios sitios web de las principales distribuciones de Linux. TAU recopiló más de 11,000 muestras benignas de varias distribuciones de Linux, a saber, Ubuntu, Debian, Mint, Fedora, CentOS y Kali. TAU luego recopiló un conjunto de datos de muestras para dos clases de amenazas, a saber, ransomware y criptomineros. Por último, TAU recopiló un conjunto de datos de binarios ELF maliciosos de VirusTotal que se utilizaron como un conjunto de datos maliciosos de prueba. TAU comenzó a recopilar el conjunto de datos en junio de 2021 y concluyó en noviembre de 2021.

Origen

¿Te gustan los paneles transparentes en el escritorio? A continuación te explicamos cómo configurar el panel izquierdo (o inferior), el lanzador del dock, para que sea transparente en Ubuntu.

Es fácil habilitar la transparencia del panel superior a través de la extensión Gnome Shell, por ejemplo, Dynamic Panel Transparency . Para la base izquierda o inferior, la extensión Dash-to-Dock integrada en el sistema tiene una opción para cambiar la opacidad del fondo.

Sistemas compatibles:

El tutorial está funcionando en las siguientes ediciones de Ubuntu:

• Ubuntu 20.04.
• Ubuntu 20.10.
• Ubuntu 21.04
• Ubuntu 21.10

Comando único para configurar la transparencia del dock:

Para aquellos familiarizados con los comandos de Linux, abra la terminal presionando la combinación de teclas Ctrl+Alt+T en el teclado. Cuando se abra, copie y pegue el siguiente comando y presione Enter:

gsettings establece org.gnome.shell.extensions.dash-to-dock background-opacity 0.2

Cambie 0.2 a su valor deseado que va de 0 a 1, donde 0 es totalmente transparente y 1 es opaco.

Para volver al valor predeterminado ( 0.7 ), ejecute el comando en la terminal:

gsettings restablecer org.gnome.shell.extensions.dash-to-dock background-opacity

Cambie la opacidad del fondo a través de la herramienta gráfica: Dconf Editor

¿Odias los comandos de Linux? Bueno, primero puede instalar la herramienta de configuración gráfica dconf editor de Ubuntu Software.

Luego inicie la herramienta y navegue hasta org/gnome/shell/exenstions/dash-to-dock . Desplácese hacia abajo y encuentre la clave "background-opacity" y haga click para ir a su configuración:

• Desactive el valor predeterminado.
• Establezca un valor personalizado.
• Haga click en el botón 'Apply' en la barra inferior.

Eso es. ¡A Disfrutar!

Fuente: FOStips

Origen