Linux ist als das am weitesten verbreitete Cloud-Betriebssystem ein wesentlicher Bestandteil der digitalen Infrastruktur.

Die bisher eingesetzten Gegenmaßnahmen konzentrieren sich hauptsächlich auf Windows-basierte Bedrohungen. das ist falsch. Dies ist auf die kontinuierliche Zunahme von Größe und Komplexität von Malware zurückzuführen, die auf Linux-basierte Betriebssysteme abzielt. Die VMware Threat Analysis Unit (TAU) analysierte Linux-Bedrohungen in Multi-Cloud-Umgebungen. Die am häufigsten von Angreifern verwendeten Tools sind: Ransomware, Verschlüsselungssoftware und Tools für den Fernzugriff.

Überprüfen Sie auch:

„Cyberkriminelle erweitern ihr Operationsfeld radikal und nehmen Malware in ihr Arsenal auf, die auf Linux-basierte Betriebssysteme abzielt. Dies soll die Einbruchseffizienz mit minimalem Aufwand maximieren“, sagte Andrzej Szymczak, Principal Solution Engineer bei VMware . Anstatt Geräte (Computer, Laptops, Telefone), also Endpunkte, zu infizieren, um direkt zu einem profitableren Ziel zu gelangen, entdeckten Cyberkriminelle, dass ein einziger Angriff auf den Server enorme Gewinne bringen und den Zugriff auf Daten, insbesondere sensible Daten, sicherstellen kann Rechenleistung. Sowohl öffentliche als auch private Clouds sind von großem Wert für den Zugriff auf kritische Infrastrukturdienste und vertrauliche Daten.

Wichtige Schlussfolgerungen aus dem Bericht:

• Ransomware entwickelt sich weiter und zielt auf Tools (z. B. Hosts) ab, die zum Ausführen von Workloads in virtuellen Umgebungen verwendet werden.

• 89 % der Cryptojacking-Angriffe betreffen mit XMRig verknüpfte Bibliotheken

• Mehr als die Hälfte der Benutzer von Cobalt Strike sind möglicherweise Cyberkriminelle oder verwenden das Tool zumindest illegal.

Cloud-Ransomware-Ziele

Ein erfolgreicher Ransomware-Angriff auf die Cloud kann schwerwiegende Folgen haben.

Auch in Polen kommt es zu solchen Angriffen, wie CD Projekt demonstriert. Zwei-Wege-Betrieb – Datenverschlüsselung und -diebstahl erhöhen die Chancen auf schnellen und großen Gewinn. Es scheint ein neues Phänomen zu sein, dass Linux-basierte Ransomware sich weiterentwickelt und auf Tools abzielt, die verwendet werden, um verschiedene Arten von Software auch in virtuellen Umgebungen auszuführen.

Hacker suchen jetzt nach wertvolleren Ressourcen in Cloud-Umgebungen, um dem Ziel maximalen Schaden zuzufügen. Beispiele sind die Ransomware-Familie Defray777, die Bilder auf ESXi-Servern verschlüsselte, und die Ransomware-Gruppe DarkSide, die Colonial-Pipeline-Netzwerke lahmlegte und Benzinknappheit in den Vereinigten Staaten verursachte.

Kryptojacking

Cyberkriminelle, die nach leichtem Einkommen suchen, zielen oft auf Kryptowährungen ab. Cyberkriminelle fügen der Malware entweder einen Mechanismus zum Stehlen von Brieftaschen hinzu oder verwenden eingefangene CPU-Leistung, um sie in einem als Kryptojacking bekannten Angriff zu extrahieren. Die meisten dieser Angriffe konzentrieren sich auf das Mining von Monero Currency (XMR).

VMware TAU fand heraus, dass 89 % der Kryptowährungen XMRig-bezogene Bibliotheken verwendeten. Wenn bestimmte XMRig-Bibliotheken und -Module in Linux-Binärdateien erkannt werden, ist dies daher wahrscheinlich ein Hinweis auf einen Hack. VMware TAU weist auch darauf hin, dass das Umgehen der Sicherheit die am häufigsten verwendete Angriffsmethode gegen Linux ist. Leider stören diese Programme Cloud-Umgebungen nicht so wie Ransomware und sind daher schwer zu erkennen.

Cobalt Strike – Angriffswerkzeug

Um die Kontrolle zu erlangen und in der Umgebung zu überleben, versuchen Cyberkriminelle, ein Implantat in das System einzubauen, das ihnen teilweise die Kontrolle über das Gerät gibt. Malware, Web-Shells und Tools für den Fernzugriff (RATs) können auf dem betroffenen System verwendet werden, um den Fernzugriff zu ermöglichen. Eines der wichtigsten Werkzeuge, die Angreifer verwenden, ist Cobalt Strike, das kommerzielle Penetrationstest-Tool von Red Team, und die neueste Linux-basierte Version, Vermilion Strike. Es ist eine so allgegenwärtige Bedrohung für Windows, dass seine Linux-Erweiterung die Bemühungen von Cyberkriminellen hervorhebt, leicht verfügbare Tools zu verwenden, die auf so viele Plattformen wie möglich abzielen.

Zwischen Februar 2020 und November 2021 entdeckte das VMware TAU-Team online mehr als 14.000 aktive Cobalt Strike Team-Server. Der kombinierte Prozentsatz defekter und geleakter Kunden-IDs von Cobalt Strike beträgt 56 %, was bedeutet, dass mehr als die Hälfte der Benutzer Cyberkriminelle sein oder Cobalt Strike zumindest illegal verwenden könnten. Die Tatsache, dass RAT-Tools ein bösartiges Tool sind, stellt eine ernsthafte Bedrohung für Unternehmen dar.

„Seit unserer Analyse wurde beobachtet, dass mehr Arten von Ransomware wie Linux auftreten. Dies erhöht die Möglichkeit zusätzlicher Angriffe, die beispielsweise Schwachstellen in Log4j ausnutzen könnten“, sagte Piotr Kraś, Senior Director of Solution Engineering bei VMware . „Die Schlussfolgerungen des Berichts können verwendet werden, um die Natur von Linux-basierter Malware besser zu verstehen und die wachsende Bedrohung durch Ransomware, Verschlüsselung und RAT in Multicloud-Umgebungen zu mindern. Cloud-Angriffe entwickeln sich weiter, daher müssen wir einen Zero-Trust-Ansatz verfolgen, um Sicherheit einzubetten in der gesamten Infrastruktur und adressieren Sie systematisch Bedrohungsvektoren, die Angriffsflächen schaffen.“

Möchten Sie mehr über Zero Trust erfahren? Wir laden Sie ein, sich zwei spezielle redaktionelle Episoden von Computerworld Tech Trends anzuhören: „Trust Zero – There Will Be No Different Truth“ und „Security? Let’s Get to Work…“