Linux, como el sistema operativo en la nube más extendido, es una parte esencial de la infraestructura digital.

Las contramedidas utilizadas hasta ahora se centran principalmente en las amenazas basadas en Windows. Esto es un error. Esto se debe al aumento continuo del tamaño y la sofisticación del malware dirigido a los sistemas operativos basados ​​en Linux. La Unidad de análisis de amenazas de VMware (TAU) analizó las amenazas de Linux en entornos de múltiples nubes. Las herramientas más comunes utilizadas por los atacantes son: ransomware, software de cifrado y herramientas de acceso remoto.

Compruebe también:

«Los ciberdelincuentes están expandiendo radicalmente el campo de operaciones e incluyen en su arsenal malware que se dirige a los sistemas operativos basados ​​en Linux. Esto es para maximizar la eficiencia del robo con el mínimo esfuerzo», dijo Andrzej Szymczak, ingeniero principal de soluciones en VMware . En lugar de infectar dispositivos (computadoras, portátiles, teléfonos), es decir, endpoints, para ir directamente a un objetivo más rentable, los ciberdelincuentes descubrieron que un solo ataque al servidor puede generar grandes ganancias y garantizar el acceso a los datos, especialmente a los datos confidenciales, y poder computacional. Tanto las nubes públicas como las privadas son de gran valor para acceder a servicios de infraestructura crítica y datos confidenciales.

Conclusiones clave del informe:

• El ransomware evoluciona y apunta a herramientas (como hosts) utilizadas para ejecutar cargas de trabajo en entornos virtuales.

• El 89% de los ataques de Cryptojacking involucran bibliotecas vinculadas a XMRig

• Más de la mitad de los usuarios de Cobalt Strike pueden ser ciberdelincuentes o al menos utilizar la herramienta de forma ilegal.

Objetivos del ransomware en la nube

Un ataque exitoso de ransomware en la nube puede tener graves consecuencias.

Tales ataques también ocurren en Polonia, como lo demuestra CD Projekt. Operación bidireccional: el cifrado de datos y el robo aumentan las posibilidades de obtener ganancias grandes y rápidas. Aparece un nuevo fenómeno: el ransomware basado en Linux está evolucionando y apuntando a herramientas utilizadas para ejecutar diferentes tipos de software en entornos virtuales también.

Los piratas informáticos ahora buscan recursos más valiosos en entornos de nube para infligir el máximo daño al objetivo. Los ejemplos incluyen la familia de ransomware Defray777, que cifró imágenes en servidores ESXi, y el grupo de ransomware DarkSide, que paralizó las redes de Colonial Pipeline, provocando escasez de gasolina en los Estados Unidos.

criptojacking

Los ciberdelincuentes que buscan ingresos fáciles a menudo se dirigen a las criptomonedas. Los ciberdelincuentes insertan un mecanismo de robo de billetera en el malware o usan la potencia de la CPU capturada para extraerla en un ataque conocido como cryptojacking. La mayoría de estos ataques se centran en la minería de Monero Currency (XMR).

VMware TAU descubrió que el 89 % de las criptomonedas usaban bibliotecas relacionadas con XMRig. Por este motivo, cuando se detectan determinadas bibliotecas y módulos XMRig en los binarios de Linux, es probable que se trate de una prueba de piratería. VMware TAU también señala que eludir la seguridad es el método de ataque más utilizado contra Linux. Desafortunadamente, estos programas no interrumpen los entornos de la nube como el ransomware y, por lo tanto, son difíciles de detectar.

Cobalt Strike – Herramienta de ataque

Para hacerse con el control y sobrevivir en el entorno, los ciberdelincuentes intentan instalar un implante en el sistema, lo que les otorga un control parcial sobre el dispositivo. Se pueden usar malware, shells web y herramientas de acceso remoto (RAT) en el sistema afectado para permitir el acceso remoto. Una de las principales herramientas que utilizan los atacantes es Cobalt Strike, la herramienta comercial de prueba de penetración del equipo rojo, y la última versión basada en Linux, Vermilion Strike. Es una amenaza tan generalizada para Windows que su extensión para Linux destaca los esfuerzos de los ciberdelincuentes por usar herramientas fácilmente disponibles que apuntan a tantas plataformas como sea posible.

Entre febrero de 2020 y noviembre de 2021, el equipo de VMware TAU descubrió más de 14 000 servidores Cobalt Strike Team activos en línea. El porcentaje combinado de identificaciones de clientes de Cobalt Strike rotas y filtradas es del 56 %, lo que significa que más de la mitad de los usuarios pueden ser ciberdelincuentes o al menos usar Cobalt Strike ilegalmente. El hecho de que las herramientas RAT sean una herramienta maliciosa representa una seria amenaza para las empresas.

«Desde nuestro análisis, se ha observado que hay más tipos de ransomware como Linux. Esto aumenta la posibilidad de ataques adicionales que podrían explotar vulnerabilidades en Log4j, por ejemplo», dijo Piotr Kraś, director sénior de ingeniería de soluciones en VMware . «Las conclusiones del informe se pueden usar para comprender mejor la naturaleza del malware basado en Linux y mitigar la creciente amenaza del ransomware, el cifrado y RAT en entornos de múltiples nubes. Los ataques en la nube continúan evolucionando, por lo que debemos adoptar un enfoque de confianza cero para incorporar la seguridad. a través de la infraestructura y abordar sistemáticamente los vectores de amenazas que crean la superficie para el ataque”.

¿Quieres saber más sobre Zero Trust? Lo invitamos a escuchar dos episodios editoriales especiales de Computerworld Tech Trends: «Confianza cero: no habrá una verdad diferente» y «¿Seguridad? Manos a la obra…»