Su prevalencia como sistema operativo en la nube significa que Linux se está convirtiendo en un boleto de comida para los actores malintencionados, pero la industria de la seguridad no parece haberse dado cuenta de esto todavía, dice VMware.
Con su estatus como el sistema operativo en la nube más común consolidado más allá de toda duda, Linux se ha convertido en una parte central de la infraestructura digital organizacional en todo el mundo, pero también está abriendo nuevas vías de ataque para los actores malintencionados , y la industria de la seguridad debe darse prisa. levántate y sé sabio con esto.
Eso es según un informe recientemente publicado de la Unidad de Análisis de Amenazas (TAU) de VMware que detalla cómo los actores maliciosos están usando malware para apuntar a los sistemas operativos basados en Linux. En el informe, Exposición de malware en entornos multinube basados en Linux , mostró cómo las contramedidas actuales aún se enfocan en gran medida en abordar las amenazas basadas en Windows, con el efecto final de que muchas implementaciones de nubes públicas y privadas quedan vulnerables a ataques que de otro modo serían fáciles. para detener.
“Los ciberdelincuentes están ampliando drásticamente su alcance y agregando malware que apunta a los sistemas operativos basados en Linux a su conjunto de herramientas de ataque para maximizar su impacto con el menor esfuerzo posible”, dijo Giovanni Vigna, director senior de inteligencia de amenazas en VMware.
“En lugar de infectar un punto final y luego navegar a un objetivo de mayor valor, los ciberdelincuentes han descubierto que comprometer un solo servidor puede generar la recompensa masiva y el acceso que están buscando. Los atacantes ven las nubes públicas y privadas como objetivos de alto valor debido al acceso que brindan a los servicios de infraestructura crítica y a los datos confidenciales.
“Desafortunadamente, los programas maliciosos actuales se centran principalmente en abordar las amenazas basadas en Windows, lo que hace que muchas implementaciones de nubes públicas y privadas sean vulnerables a los ataques en los sistemas operativos basados en Linux”.
Al compilar su informe, la TAU analizó las mayores amenazas para los sistemas operativos Linux en entornos de múltiples nubes: ransomware, criptomineros y herramientas de acceso remoto.
Los ataques exitosos de ransomware en entornos de nube pueden ser particularmente devastadores, especialmente cuando se combinan con técnicas de extorsión doble y ahora triple, dijo VMware.
El informe reveló evidencia de nuevos desarrollos en ransomwares basados en Linux, que ahora pueden apuntar a las imágenes del host utilizadas para hacer girar las cargas de trabajo en entornos virtualizados. Ejemplos de estos incluyen la familia de ransomware DarkSide y Defray777 , que encripta imágenes de host en servidores ESXi.
VMware dijo que esto era una señal clara de que los atacantes se dieron cuenta de que necesitaban atacar activos más valiosos dentro de un entorno de nube.
La criptominería podría considerarse razonablemente una amenaza menos impactante para los entornos en la nube que el ransomware, y ciertamente es cierto que no interrumpe completamente los entornos en la nube de la misma manera y, por lo tanto, puede ser más difícil de detectar.
Esto es algo que los actores maliciosos pueden usar en su beneficio, apuntando a una recompensa rápida con uno de dos enfoques: generalmente incluirán la funcionalidad de robo de billetera criptográfica en el malware o monetizarán los ciclos de CPU robados para extraer criptomonedas, principalmente enfocados en Monero (XMR) .
VMware dijo que el 89% de los criptomineros usan bibliotecas relacionadas con XMRig, por lo que si dichas bibliotecas o módulos se identifican en los binarios de Linux, generalmente se puede tomar como evidencia de que un entorno ha sido secuestrado.
Las variantes de Cobalt Strike también dominarán Linux
La herramienta y el marco de prueba de penetración Cobalt Strike han sido durante mucho tiempo la herramienta elegida por los atacantes cuando se dirigen a entornos Windows, pero el año pasado se supo que se había encontrado una versión de ingeniería inversa, denominada Vermilion Strike, dirigida a Linux , y ahora parece que aquí, también, se está convirtiendo en una opción favorita para los actores malintencionados.
VMware dijo que encontró más de 14,000 servidores activos del equipo Cobalt Strike en Internet entre febrero de 2020 y noviembre de 2021, con un porcentaje total de identificaciones de clientes de Cobalt Strike descifradas y filtradas en 56%, lo que sugiere que la mayoría de los usuarios de Cobalt Strike son cibernéticos. criminales o usarlo ilícitamente.
“Desde que realizamos nuestro análisis, se observó que aún más familias de ransomware se inclinan hacia el malware basado en Linux, con el potencial de ataques adicionales que podrían aprovechar las vulnerabilidades de Log4j”, dijo Brian Baskin, gerente de investigación de amenazas en VMware.
“Los hallazgos de este informe se pueden usar para comprender mejor la naturaleza del malware basado en Linux y mitigar la creciente amenaza que tienen el ransomware, la criptominería y las RAT en entornos de múltiples nubes.
“A medida que los ataques dirigidos a la nube continúan evolucionando, las organizaciones deben adoptar un enfoque de confianza cero para integrar la seguridad en toda su infraestructura y abordar sistemáticamente los vectores de amenazas que conforman su superficie de ataque”.
Fuente: computerweekly | somoslibres
