Linux, как самая распространенная облачная операционная система, является неотъемлемой частью цифровой инфраструктуры.
Используемые до сих пор меры противодействия в основном сосредоточены на угрозах для Windows. Это ошибка. Это связано с продолжающимся увеличением размера и сложности вредоносных программ, нацеленных на операционные системы на базе Linux. Группа анализа угроз VMware (TAU) проанализировала угрозы Linux в мультиоблачных средах. Наиболее распространенные инструменты, используемые злоумышленниками: программы-вымогатели, программное обеспечение для шифрования и инструменты удаленного доступа.
Проверьте также:
“Киберпреступники радикально расширяют поле деятельности и включают в свой арсенал вредоносное ПО, нацеленное на операционные системы на базе Linux. Это позволяет максимизировать эффективность взлома с минимальными усилиями”, — сказал Анджей Шимчак, главный инженер по решениям в VMware . Вместо того, чтобы заражать устройства (компьютеры, ноутбуки, телефоны), то есть конечные точки, чтобы перейти сразу к более выгодной цели, киберпреступники обнаружили, что одна атака на сервер может принести огромную прибыль и обеспечить доступ к данным, особенно конфиденциальным, и вычислительная мощность. Как общедоступные, так и частные облака имеют большое значение для доступа к критически важным службам инфраструктуры и конфиденциальным данным.
Основные выводы из отчета:
• Программы-вымогатели развиваются и нацелены на инструменты (например, хосты), используемые для выполнения рабочих нагрузок в виртуальных средах.
• 89 % атак Cryptojacking связаны с библиотеками, связанными с XMRig.
• Более половины пользователей Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать инструмент нелегально.
Цели облачных программ-вымогателей
Успешная атака программы-вымогателя на облако может иметь серьезные последствия.
Подобные атаки происходят и в Польше, как показывает CD Projekt. Двусторонняя работа – шифрование данных и кража увеличивают шансы на быструю и большую прибыль. Появляется новое явление, заключающееся в том, что программы-вымогатели на базе Linux развиваются и нацелены на инструменты, используемые для запуска различных типов программного обеспечения в виртуальных средах.
Хакеры теперь ищут более ценные ресурсы в облачных средах, чтобы нанести максимальный ущерб цели. Примеры включают семейство программ-вымогателей Defray777, которые шифровали изображения на серверах ESXi, и группу программ-вымогателей DarkSide, которая парализовала сети Colonial Pipeline, вызвав нехватку бензина в Соединенных Штатах.
криптоджекинг
Киберпреступники, ищущие легкий доход, часто нацелены на криптовалюты. Киберпреступники либо встраивают в вредоносное ПО механизм кражи кошелька, либо используют захваченную мощность процессора для ее извлечения в ходе атаки, известной как криптоджекинг. Большинство этих атак сосредоточено на майнинге валюты Monero (XMR).
VMware TAU обнаружил, что 89% криптовалют используют библиотеки, связанные с XMRig. По этой причине, когда определенные библиотеки и модули XMRig обнаруживаются в бинарных файлах Linux, это, вероятно, свидетельствует о взломе. VMware TAU также отмечает, что обход системы безопасности является наиболее часто используемым методом атак на Linux. К сожалению, эти программы не нарушают работу облачных сред, как программы-вымогатели, и поэтому их трудно обнаружить.
Cobalt Strike – инструмент атаки
Чтобы получить контроль и выжить в окружающей среде, киберпреступники пытаются установить в систему имплант, дающий им частичный контроль над устройством. В уязвимой системе можно использовать вредоносные программы, веб-оболочки и инструменты удаленного доступа (RAT), чтобы разрешить удаленный доступ. Одним из основных инструментов, используемых злоумышленниками, является Cobalt Strike, коммерческий инструмент тестирования на проникновение Red Team, и последняя версия Vermilion Strike для Linux. Это настолько всепроникающая угроза для Windows, что ее расширение для Linux подчеркивает усилия киберпреступников по использованию легкодоступных инструментов, нацеленных на как можно больше платформ.
В период с февраля 2020 г. по ноябрь 2021 г. команда VMware TAU обнаружила в сети более 14 000 активных серверов Cobalt Strike Team. Совокупный процент сломанных и утекших идентификаторов клиентов Cobalt Strike составляет 56%, а это означает, что более половины пользователей могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike нелегально. Тот факт, что RAT-инструменты являются вредоносными, представляет серьезную угрозу для бизнеса.
“После нашего анализа было замечено, что больше типов программ-вымогателей, таких как Linux. Это повышает вероятность дополнительных атак, которые могут использовать уязвимости, например, в Log4j”, — сказал Петр Крась, старший директор по разработке решений в VMware . “Выводы отчета могут быть использованы для лучшего понимания природы вредоносных программ на базе Linux и смягчения растущей угрозы программ-вымогателей, шифрования и RAT в мультиоблачных средах. Облачные атаки продолжают развиваться, поэтому мы должны принять подход “Нулевого доверия” для обеспечения безопасности. по всей инфраструктуре и систематически устранять векторы угроз, которые создают поверхность для атак».
Хотите узнать больше о Zero Trust? Приглашаем вас послушать два специальных редакционных выпуска журнала Computerworld Tech Trends: «Ноль доверия — другой правды не будет» и «Безопасность? Приступим к работе…»