0
0
Como o sistema operacional em nuvem mais comum, o Linux é uma parte central da infraestrutura digital e está rapidamente se tornando um bilhete de um invasor em um ambiente multi-nuvem. As contramedidas atuais de malware estão focadas principalmente em lidar com ameaças baseadas no Windows, deixando muitas implantações em nuvem públicas e privadas vulneráveis a ataques que visam cargas de trabalho baseadas no Linux, revela o VMware.
As principais descobertas que detalham como os cibercriminosos estão usando malware para atingir sistemas operacionais baseados no Linux incluem:
- O Ransomware está evoluindo para direcionar imagens de host usadas para girar cargas de trabalho em ambientes virtualizados
- 89% dos ataques de cryptojacking usam bibliotecas relacionadas ao XMRig e
- Mais da metade dos usuários do Cobalt Strike podem ser cibercriminosos, ou pelo menos usando o Cobalt Strike ilegalmente.
“Os cibercriminosos estão expandindo drasticamente seu escopo e adicionando malware que tem como alvo sistemas operacionais baseados em Linux em seu kit de ferramentas de ataque, a fim de maximizar seu impacto com o mínimo de esforço possível”, disse Giovanni Vigna, diretor sênior de inteligência de ameaças da VMware.
“Em vez de infectar um ponto final e, em seguida, navegar para um alvo de maior valor, os cibercriminosos descobriram que comprometer um único servidor pode fornecer o pagamento e o acesso maciço que eles estão procurando. Os atacantes veem as nuvens públicas e privadas como alvos de alto valor devido ao acesso que fornecem a serviços críticos de infraestrutura e dados confidenciais. Infelizmente, as contramedidas atuais de malware estão focadas principalmente em lidar com ameaças baseadas no Windows, deixando muitas implantações em nuvem públicas e privadas vulneráveis a ataques a sistemas operacionais baseados em Linux.”
À medida que o malware direcionado a sistemas operacionais baseados em Linux aumenta em volume e complexidade em meio a um cenário de ameaças em rápida mudança, as organizações devem colocar uma maior prioridade na detecção de ameaças.
Ransomware tem como alvo a nuvem para infligir o máximo de dano
Como uma das principais causas de violação para as organizações, um ataque de ransomware bem-sucedido em um ambiente de nuvem pode ter consequências devastadoras. Os ataques de ransomware contra implantações em nuvem são alvo e são frequentemente combinados com a exfiltração de dados, implementando um esquema de extorsão dupla que melhora as chances de sucesso. Um novo desenvolvimento mostra que o ransomware baseado no Linux está evoluindo para direcionar imagens de host usadas para girar cargas de trabalho em ambientes virtualizados.
Os atacantes estão agora procurando os ativos mais valiosos em ambientes de nuvem para infligir a quantidade máxima de dano ao alvo. Exemplos incluem a família de ransomware Defray777, que criptografou imagens de host em servidores ESXi, e a família de ransomware DarkSide, que prejudicou as redes da Colonial Pipeline e causou uma escassez nacional de gasolina nos EUA.
Ataques de cryptojacking usam XMRig para minerar Monero
Os cibercriminosos que procuram uma recompensa monetária instantânea geralmente visam criptomoedas usando uma das duas abordagens. Os cibercriminosos incluem a funcionalidade de roubo de carteira em malware ou monetizam ciclos roubados de CPU para minerar com sucesso criptomoedas em um ataque chamado cryptojacking. A maioria dos ataques de cryptojacking se concentra na mineração da moeda Monero (ou XMR) e a VMware TAU descobriu que 89% dos criptominers usavam bibliotecas relacionadas ao XMRig. Por essa razão, quando bibliotecas e módulos específicos do XMRig em binários Linux são identificados, é provável que seja evidência de comportamento malicioso de criptografia.
A evasão de defesa é a técnica mais usada por criptominers baseados em Linux. Infelizmente, como os ataques de cryptojacking não interrompem completamente as operações de ambientes de nuvem como ransomware, eles são muito mais difíceis de detectar.
Cobalt Strike é a ferramenta de acesso remoto dos atacantes
Para obter controle e persistir dentro de um ambiente, os atacantes procuram instalar um implante em um sistema comprometido que lhes dê controle parcial da máquina. Malware, webshells e RATs (Remote Access Tools) podem ser implantes usados por invasores em um sistema comprometido para permitir acesso remoto. Um dos principais implantes usados pelos atacantes é o Cobalt Strike, um teste de penetração comercial e ferramenta de equipe vermelha, e sua recente variante do Vermilion Strike baseado em Linux.
Uma vez que o Cobalt Strike é uma ameaça tão onipresente no Windows, a expansão para o sistema operacional Linux demonstra o desejo dos atores de ameaças de usar ferramentas prontamente disponíveis que visam o maior número possível de plataformas.
Mais de 14.000 servidores ativos da Equipe de Ataque cobalto foram descobertos na internet entre fevereiro de 2020 e novembro de 2021. A porcentagem total de IDs de clientes do Cobalt Strike rachados e vazados é de 56%, o que significa que mais da metade dos usuários do Cobalt Strike podem ser cibercriminosos, ou pelo menos usando o Cobalt Strike ilegalmente. O fato de que RATs como Cobalt Strike e Vermilion Strike se tornaram uma ferramenta de mercadorias para cibercriminosos representa uma ameaça significativa para as empresas.
“Desde que realizamos nossa análise, ainda mais famílias de ransomware foram observadas gravitando para malware baseado no Linux, com o potencial de ataques adicionais que poderiam aproveitar as vulnerabilidades do Log4j“, disse Brian Baskin, gerente de pesquisa de ameaças da VMware.
“As descobertas deste relatório podem ser usadas para entender melhor a natureza do malware baseado no Linux e mitigar a crescente ameaça que ransomware, criptomining e RATs têm em ambientes multi-nuvem. À medida que os ataques direcionados à nuvem continuam a evoluir, as organizações devem adotar uma abordagem de confiança zero para incorporar segurança em toda a sua infraestrutura e abordar sistematicamente os vetores de ameaças que compõem sua superfície de ataque.”
FONTE: HELPNET SECURITY