Los investigadores advierten que los ciberdelincuentes apuntan cada vez más a Linux para entregar ransomware y otro malware.
Los ciberdelincuentes apuntan cada vez más a los servidores Linux y la infraestructura en la nube para lanzar campañas de ransomware, ataques de cryptojacking y otras actividades ilícitas, y muchas organizaciones se exponen a los ataques porque la infraestructura Linux está mal configurada o mal administrada.
El análisis de los investigadores de seguridad cibernética de VMware advierte que el malware dirigido a los sistemas basados en Linux está aumentando en volumen y complejidad, mientras que también hay una falta de enfoque en la gestión y detección de amenazas contra ellos . Esto se produce después de un aumento en el uso de empresas que confían en los servicios basados en la nube debido al aumento del trabajo híbrido, siendo Linux el sistema operativo más común en estos entornos.
Ese aumento ha abierto nuevas vías que los ciberdelincuentes pueden explotar para comprometer las redes empresariales, como se detalla en el documento de investigación, incluidos los ataques de ransomware y cryptojacking diseñados para apuntar a servidores Linux en entornos que pueden no estar tan estrictamente monitoreados como aquellos que ejecutan Windows.
Estos ataques están diseñados para lograr el máximo impacto, ya que los ciberdelincuentes buscan comprometer la red tanto como sea posible antes de activar el proceso de cifrado y, en última instancia, exigir un rescate por la clave de descifrado.
El informe advierte que el ransomware ha evolucionado para apuntar a las imágenes de host de Linux utilizadas para acelerar las cargas de trabajo en entornos virtualizados, lo que permite a los atacantes cifrar simultáneamente grandes extensiones de la red y dificultar la respuesta a incidentes. Los ataques a entornos en la nube también dan como resultado que los atacantes roben información de los servidores, que amenazan con publicar si no se les paga un rescate.
Las familias de ransomware que se han visto apuntando a servidores Linux en ataques incluyen REvil, DarkSide y Defray777 y es probable que aparezcan nuevas formas de ransomware que también apunten a Linux.
El cryptojacking y otros ataques de malware también se dirigen cada vez más a los servidores Linux. El malware de cryptojacking roba la potencia de procesamiento de las CPU y los servidores para extraer criptomonedas.
Los ataques contra todos los sistemas operativos a menudo pasan desapercibidos. Si bien los cryptojackers están consumiendo energía y potencialmente ralentizando los sistemas, por lo general no es un drenaje lo suficientemente notable como para causar una interrupción significativa.
La aplicación más común que se usa para extraer Monero es el minero XMRig de código abierto y muchos de estos se colocan en servidores Linux. Si el entorno Linux no se supervisa correctamente, el cryptojacking puede pasar fácilmente desapercibido y los ciberdelincuentes lo saben.
“Los ciberdelincuentes están ampliando drásticamente su alcance y agregando malware que apunta a los sistemas operativos basados en Linux a su kit de herramientas de ataque para maximizar su impacto con el menor esfuerzo posible”, dijo Giovanni Vigna, director senior de inteligencia de amenazas en VMware. En lugar de infectar una PC y luego navegar a un objetivo de mayor valor, los ciberdelincuentes se dieron cuenta de que comprometer un solo servidor puede generar una gran recompensa.
Muchos de los ataques cibernéticos dirigidos a entornos Linux aún son relativamente poco sofisticados en comparación con ataques equivalentes dirigidos a sistemas Windows, lo que significa que con el enfoque correcto para monitorear y proteger los sistemas basados en Linux, muchos de estos ataques pueden prevenirse.
Eso incluye procedimientos de higiene de ciberseguridad, como garantizar que no se utilicen contraseñas predeterminadas y evitar compartir una cuenta entre varios usuarios.
"Concéntrese en lo básico. El hecho es que la mayoría de los adversarios no son muy avanzados", dijo Brian Baskin, gerente de investigación de amenazas en VMware.
"No están buscando exploits únicos, están buscando las vulnerabilidades abiertas generales y las configuraciones incorrectas. Concéntrese en eso antes de comenzar a concentrarse en los ataques de día cero y las nuevas vulnerabilidades; asegúrese de tener los conceptos básicos cubiertos primero". añadió.
Fuente: zdnet | somoslibres
