O Linux, como o sistema operacional em nuvem mais difundido, é uma parte essencial da infraestrutura digital.

As contramedidas usadas até agora se concentram principalmente em ameaças baseadas no Windows. Isto é um erro. Isso se deve ao aumento contínuo no tamanho e sofisticação do malware direcionado a sistemas operacionais baseados em Linux. A VMware Threat Analysis Unit (TAU) analisou as ameaças do Linux em ambientes de várias nuvens. As ferramentas mais comuns usadas pelos invasores são: ransomware, software de criptografia e ferramentas de acesso remoto.

Confira também:

“Os cibercriminosos estão expandindo radicalmente o campo de operações e incluem em seu arsenal malware que visa sistemas operacionais baseados em Linux. Isso é para maximizar a eficiência de roubo com o mínimo de esforço”, disse Andrzej Szymczak, Engenheiro Principal de Soluções da VMware . Em vez de infectar dispositivos (computadores, laptops, telefones), ou seja, endpoints, para ir direto a um alvo mais lucrativo, os cibercriminosos descobriram que um único ataque ao servidor pode trazer enormes lucros e garantir o acesso aos dados, principalmente os confidenciais, e poder computacional. As nuvens públicas e privadas são de grande valor para acessar serviços de infraestrutura crítica e dados confidenciais.

Principais conclusões do relatório:

• Ransomware evolui e tem como alvo ferramentas (como hosts) usadas para executar cargas de trabalho em ambientes virtuais.

• 89% dos ataques de Cryptojacking envolvem bibliotecas vinculadas ao XMRig

• Mais da metade dos usuários do Cobalt Strike podem ser cibercriminosos ou pelo menos usar a ferramenta ilegalmente.

Alvos de ransomware na nuvem

Um ataque de ransomware bem-sucedido na nuvem pode ter consequências graves.

Tais ataques também ocorrem na Polônia, como demonstrado pela CD Projekt. Operação bidirecional – criptografia de dados e roubo aumentam as chances de lucro rápido e grande. Um novo fenômeno parece que o ransomware baseado em Linux está evoluindo e direcionando ferramentas usadas para executar diferentes tipos de software em ambientes virtuais também.

Os hackers agora procuram recursos mais valiosos em ambientes de nuvem para infligir o máximo de dano ao alvo. Exemplos incluem a família de ransomware Defray777, que criptografou imagens em servidores ESXi, e o grupo de ransomware DarkSide, que paralisou as redes Colonial Pipeline, causando escassez de gasolina nos Estados Unidos.

criptojacking

Os cibercriminosos que buscam renda fácil geralmente têm como alvo as criptomoedas. Os cibercriminosos inserem um mecanismo de roubo de carteira no malware ou usam o poder da CPU capturado para extraí-lo em um ataque conhecido como cryptojacking. A maioria desses ataques se concentra na mineração Monero Currency (XMR).

O VMware TAU descobriu que 89% das criptomoedas usavam bibliotecas relacionadas ao XMRig. Por esse motivo, quando certas bibliotecas e módulos XMRig são detectados em binários do Linux, isso provavelmente é uma evidência de um hack. O VMware TAU também observa que ignorar a segurança é o método mais usado de ataques contra o Linux. Infelizmente, esses programas não interrompem os ambientes de nuvem como o ransomware e, portanto, são difíceis de detectar.

Cobalt Strike – Ferramenta de Ataque

Para obter controle e sobreviver no ambiente, os cibercriminosos tentam instalar um implante no sistema, o que lhes dá controle parcial sobre o dispositivo. Malware, web shells e ferramentas de acesso remoto (RATs) podem ser usados ​​no sistema afetado para permitir o acesso remoto. Uma das principais ferramentas usadas pelos invasores é o Cobalt Strike, a ferramenta comercial de teste de penetração da equipe vermelha, e a versão mais recente baseada em Linux, Vermilion Strike. É uma ameaça tão difundida para o Windows que sua extensão Linux destaca os esforços dos cibercriminosos para usar ferramentas prontamente disponíveis que visam o maior número possível de plataformas.

Entre fevereiro de 2020 e novembro de 2021, a equipe VMware TAU descobriu mais de 14.000 servidores ativos do Cobalt Strike Team online. A porcentagem combinada de IDs de clientes Cobalt Strike quebradas e vazadas é de 56%, o que significa que mais da metade dos usuários podem ser cibercriminosos ou pelo menos usar Cobalt Strike ilegalmente. O fato de as ferramentas RAT serem uma ferramenta maliciosa representa uma séria ameaça para as empresas.

“Desde nossa análise, observamos que mais tipos de ransomware como o Linux. Isso aumenta a possibilidade de ataques adicionais que podem explorar vulnerabilidades no Log4j, por exemplo”, disse Piotr Kraś, Diretor Sênior de Engenharia de Soluções da VMware . “As conclusões do relatório podem ser usadas para entender melhor a natureza do malware baseado em Linux e mitigar a crescente ameaça de ransomware, criptografia e RAT em ambientes multicloud. Os ataques à nuvem continuam a evoluir, por isso devemos adotar uma abordagem Zero Trust para incorporar a segurança em toda a infraestrutura e abordar sistematicamente os vetores de ameaças que criam a superfície para o ataque.”

Quer saber mais sobre Zero Trust? Convidamos você a ouvir dois episódios editoriais especiais do Computerworld Tech Trends: “Trust Zero – There Will Be No Different Truth” e “Security? Let’s Get to Work…”