0
0
O Linux pode não se comparar ao Windows quando se trata do número bruto de ataques contra sistemas que executam o sistema operacional, mas o interesse dos agentes de ameaças em servidores e tecnologias baseados em Linux aumentou significativamente recentemente.
Isso provavelmente é uma resposta ao crescente uso corporativo de infraestruturas Linux – especialmente na nuvem – para hospedar aplicativos e dados de missão crítica, de acordo com um relatório da Trend Micro esta semana. A empresa identificou um aumento de 75% nos ataques de ransomware direcionados a sistemas Linux no primeiro semestre de 2022 em comparação com o mesmo período do ano passado.
O relatório também disse que os pesquisadores da empresa identificaram 1.961 instâncias de tentativas de ataque de ransomware baseado em Linux em seus clientes nos primeiros seis meses de 2022, contra 1.121 no primeiro semestre de 2021.
Ataques crescentes de Linux e VMware ESXi Ransomware
O aumento foi consistente com as observações anteriores da Trend Micro sobre os agentes de ameaças ampliando seus esforços para atingir plataformas Linux e servidores ESXi, que muitas organizações usam para gerenciar máquinas virtuais e contêineres.
O fornecedor de segurança descreveu a tendência como sendo liderada pelos operadores das famílias de ransomware REvil e DarkSide e ganhando força com o lançamento de uma variante de ransomware LockBit para sistemas Linux e VMware ESXi em outubro passado.
No início deste ano, os pesquisadores da Trend Micro observaram outra variante chamada “Cheerscrypt” surgindo em estado selvagem que também visava servidores ESXi. E vários outros fornecedores de segurança relataram observar outros ransomwares, como Luna e Black Basta , que podem criptografar dados em sistemas Linux.
Atualmente, o ransomware é a maior, mas não a única, ameaça direcionada aos sistemas Linux . Um relatório que a VMware divulgou no início deste ano observou um aumento também no cryptojacking e no uso de Trojans de acesso remoto (RATs) projetados para atacar ambientes Linux.
A empresa, por exemplo, descobriu que os agentes de ameaças estão usando malware como o XMRig para roubar ciclos de CPU em máquinas Linux para minerar Monero e outras criptomoedas.
“O malware de criptomineração no Linux teve um aumento no primeiro semestre, provavelmente devido ao fato de que a mineração de criptografia baseada em nuvem teve um crescimento por agentes maliciosos que perpetram essa ameaça”, observa Jon Clay, vice-presidente de inteligência de ameaças da Trend Micro.
O relatório da VMware também observou o uso expandido de ferramentas como Cobalt Strike para direcionar sistemas Linux e o surgimento de uma implementação Linux do Cobalt Strike chamada “Vermilion Strike”.
Assim como a Trend Micro, a VMware também observou um aumento no volume e sofisticação dos ataques de ransomware na infraestrutura Linux – especialmente imagens de host para cargas de trabalho em ambientes virtuais. A empresa descreveu muitos dos ataques de ransomware contra sistemas Linux como direcionados, em vez de oportunistas, e combinando exfiltração de dados e outros esquemas de extorsão.
Um ponto de entrada para ambientes corporativos de alto valor
O Windows continua sendo — de longe — o sistema operacional mais direcionado, simplesmente por causa do tamanho de sua base instalada. Clay diz que das 63 bilhões de ameaças que a Trend Micro bloqueou para clientes no primeiro semestre de 2022, apenas uma porcentagem muito pequena era baseada em Linux. Embora tenha havido milhões de detecções de ameaças Linux no primeiro semestre de 2022, houve bilhões de ataques em sistemas Windows no mesmo período, diz ele.
Mas os ataques crescentes em sistemas Linux são preocupantes devido à forma como o Linux está começando a ser utilizado em áreas críticas da infraestrutura de computação empresarial. A VMware apontou em seu relatório que o Linux é o sistema operacional mais comum em ambientes multicloud, e 78% dos sites mais populares são baseados em Linux. Assim, ataques bem-sucedidos a esses sistemas podem causar danos consideráveis às operações da organização.
“Malware direcionado a sistemas baseados em Linux está rapidamente se tornando o caminho de um invasor para ambientes multinuvem de alto valor”, alertou a VMware.
Mesmo assim, as proteções de segurança podem estar atrasadas, ressalta Clay.
“Os agentes de ameaças estão vendo oportunidades para atacar esse sistema operacional, pois é mais comum vê-lo executando áreas críticas de uma operação de negócios”, diz ele. “Como historicamente não viu muitas ameaças direcionadas a ele, os controles de segurança podem estar ausentes ou não habilitados adequadamente para protegê-lo.”
Protegendo ambientes Linux
Os administradores do Linux precisam, antes de tudo, seguir as melhores práticas de segurança padrão para proteger seus sistemas, dizem os pesquisadores, como manter os sistemas corrigidos, minimizar o acesso e realizar verificações regulares.
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, diz que é significativo observar as principais diferenças em como os sistemas baseados em Linux e Windows são usados ao avaliar riscos e gerenciar patches. Os sistemas Linux geralmente são servidores encontrados tanto no local quanto em implantações na nuvem. Embora existam muitos servidores Windows, há muito mais desktops Windows, e esses geralmente são os alvos, com os servidores sendo comprometidos a partir desse suporte inicial do Windows.
Além disso, a conscientização do usuário Linux sobre engenharia social deve ser um foco organizacional.
“Esperamos que os administradores de sistemas Linux sejam menos propensos a cair em ataques típicos de phishing e engenharia social do que a população em geral”, diz Parkin. “Mas o conselho padrão se aplica – os usuários precisam ser treinados para fazer parte da solução e não da superfície de ataque”.
Enquanto isso, Clay diz que a primeira coisa que as organizações precisam fazer é inventariar todos os sistemas baseados em Linux que estão executando e, em seguida, procurar implementar uma abordagem de segurança baseada em Linux para proteger contra diferentes ameaças.
“Idealmente, isso seria parte de uma plataforma de segurança cibernética onde eles poderiam implantar controles de segurança automaticamente à medida que os sistemas Linux fossem online e modelassem seus controles para sistemas baseados em Windows”, diz ele. “Certifique-se de que isso inclui tecnologias como aprendizado de máquina, correção virtual, controle de aplicativos, monitoramento de integridade e inspeção de logs.”
FONTE: DARK READING