Linux, in quanto sistema operativo cloud più diffuso, è una parte essenziale dell’infrastruttura digitale.

Le contromisure finora utilizzate si concentrano principalmente sulle minacce basate su Windows. Questo è un errore. Ciò è dovuto al continuo aumento delle dimensioni e della sofisticatezza del malware che prende di mira i sistemi operativi basati su Linux. VMware Threat Analysis Unit (TAU) ha analizzato le minacce Linux in ambienti multi-cloud. Gli strumenti più comuni utilizzati dagli aggressori sono: ransomware, software di crittografia e strumenti di accesso remoto.

Controlla anche:

“I criminali informatici stanno espandendo radicalmente il campo delle operazioni e includono nel loro arsenale malware che prende di mira i sistemi operativi basati su Linux. Questo per massimizzare l’efficienza dei furti con il minimo sforzo”, ha affermato Andrzej Szymczak, Principal Solution Engineer di VMware . Invece di infettare i dispositivi (computer, laptop, telefoni), ovvero gli endpoint, per andare direttamente verso un obiettivo più redditizio, i criminali informatici hanno scoperto che un singolo attacco al server può portare enormi profitti e garantire l’accesso ai dati, in particolare ai dati sensibili, e potenza di calcolo. Sia i cloud pubblici che quelli privati ​​sono di grande valore per l’accesso a servizi infrastrutturali critici e dati riservati.

Conclusioni chiave del rapporto:

• Il ransomware si evolve e prende di mira gli strumenti (come gli host) utilizzati per eseguire carichi di lavoro in ambienti virtuali.

• L’89% degli attacchi di Cryptojacking coinvolge librerie collegate a XMRig

• Più della metà degli utenti di Cobalt Strike possono essere criminali informatici o almeno utilizzare lo strumento illegalmente.

Obiettivi ransomware cloud

Un attacco ransomware riuscito sul cloud può avere gravi conseguenze.

Tali attacchi si verificano anche in Polonia, come dimostrato da CD Projekt. Operazione a due vie: la crittografia dei dati e il furto aumentano le possibilità di profitti rapidi e grandi. Un nuovo fenomeno sembra che il ransomware basato su Linux si stia evolvendo e prende di mira strumenti utilizzati per eseguire diversi tipi di software anche in ambienti virtuali.

Gli hacker sono ora alla ricerca di risorse più preziose negli ambienti cloud per infliggere il massimo danno al bersaglio. Gli esempi includono la famiglia di ransomware Defray777, che crittografava le immagini sui server ESXi, e il gruppo di ransomware DarkSide, che ha paralizzato le reti Colonial Pipeline, causando carenza di benzina negli Stati Uniti.

criptojacking

I criminali informatici che cercano un reddito facile spesso prendono di mira le criptovalute. I criminali informatici inseriscono un meccanismo di furto del portafoglio nel malware o utilizzano la potenza della CPU catturata per estrarlo in un attacco noto come cryptojacking. La maggior parte di questi attacchi si concentra sul mining di Monero Currency (XMR).

VMware TAU ha rilevato che l’89% delle criptovalute utilizzava librerie relative a XMRig. Per questo motivo, quando alcune librerie e moduli XMRig vengono rilevati nei binari di Linux, questa è probabilmente la prova di un hack. VMware TAU rileva inoltre che bypassare la sicurezza è il metodo di attacco più comunemente utilizzato contro Linux. Sfortunatamente, questi programmi non interrompono gli ambienti cloud come i ransomware e quindi sono difficili da rilevare.

Colpo di cobalto – Strumento di attacco

Per ottenere il controllo e sopravvivere nell’ambiente, i criminali informatici cercano di installare un impianto nel sistema, che dia loro un controllo parziale sul dispositivo. È possibile utilizzare malware, shell Web e strumenti di accesso remoto (RAT) sul sistema interessato per consentire l’accesso remoto. Uno degli strumenti principali utilizzati dagli aggressori è Cobalt Strike, lo strumento commerciale per i test di penetrazione del team rosso, e l’ultima versione basata su Linux, Vermilion Strike. È una minaccia così pervasiva per Windows che la sua estensione Linux mette in evidenza gli sforzi dei criminali informatici per utilizzare strumenti prontamente disponibili che prendono di mira quante più piattaforme possibili.

Tra febbraio 2020 e novembre 2021, il team VMware TAU ha scoperto più di 14.000 server Cobalt Strike Team attivi online. La percentuale combinata di ID cliente Cobalt Strike rotti e trapelati è del 56%, il che significa che più della metà degli utenti potrebbe essere criminale informatico o almeno utilizzare Cobalt Strike illegalmente. Il fatto che gli strumenti RAT siano uno strumento dannoso rappresenta una seria minaccia per le aziende.

“Dalla nostra analisi, è stato osservato che più tipi di ransomware come Linux. Ciò solleva la possibilità di ulteriori attacchi che potrebbero sfruttare le vulnerabilità in Log4j, ad esempio”, ha affermato Piotr Kraś, Senior Director of Solution Engineering di VMware . “Le conclusioni del rapporto possono essere utilizzate per comprendere meglio la natura del malware basato su Linux e mitigare la crescente minaccia di ransomware, crittografia e RAT su ambienti multicloud. Gli attacchi cloud continuano ad evolversi, quindi dobbiamo adottare un approccio Zero Trust per incorporare la sicurezza attraverso l’infrastruttura e indirizzare sistematicamente ai vettori di minaccia che creano la superficie per l’attacco”.

Vuoi saperne di più su Zero Trust? Vi invitiamo ad ascoltare due episodi editoriali speciali di Computerworld Tech Trends: “Trust Zero – There Will Be No Different Truth” e “Security? Let’s Get to Work…”