El ransomware, el cryptojacking y una versión descifrada de la herramienta de prueba de penetración Cobalt Strike se han dirigido cada vez más a Linux en la infraestructura de múltiples nubes, según el informe.
Dado que Linux se usa con frecuencia como base para los servicios en la nube, los hosts de máquinas virtuales y la infraestructura basada en contenedores, los atacantes se han dirigido cada vez más a los entornos Linux con vulnerabilidades sofisticadas y malware.
Un nuevo análisis, basado en la telemetría recopilada de los ataques a los clientes de VMware, muestra un número creciente de programas de ransomware que se dirigen a los hosts de Linux para infectar contenedores o imágenes de máquinas virtuales; más uso de cryptojacking para monetizar el acceso ilícito; y más de 14 000 instancias de Cobalt Strike, el 56 % de las cuales son copias pirateadas utilizadas por delincuentes o empresas ahorrativas que no han comprado licencias. La herramienta del equipo rojo se ha vuelto tan popular como una forma de administrar máquinas comprometidas que los desarrolladores clandestinos crearon su propia versión compatible con el protocolo del programa de Windows para Linux, afirma VMware en un informe recientemente publicado, "Exposición de malware en sistemas múltiples basados en Linux". Entornos en la nube".
Si bien es posible que los atacantes no estén cambiando de Windows a Linux, el nivel de actividad muestra que también están apuntando cada vez más a Linux, dice Brian Baskin, líder del grupo de la Unidad de Análisis de Amenazas (TAU) de VMWare.
"La mayor parte de la investigación se ha centrado en el lado de Windows, pero ahora estamos viendo un aumento en los ataques en el lado de Linux y especialmente contra la infraestructura de múltiples nubes", dice. "La mayoría de los casos que vemos involucran una mala configuración a nivel de hipervisor o, a nivel de servidor, cuentas compartidas, contraseñas compartidas y controles de acceso basados en roles mal configurados".
El acceso inicial a menudo no es a través de la explotación sino a través del robo de credenciales. Si bien la ejecución remota de código es la segunda forma más popular de violar dichos sistemas, como la explotación de las vulnerabilidades predominantes de Log4j, las credenciales robadas a menudo les dan a los atacantes más tiempo para explorar dentro de la red de la víctima, dice Giovanni Vigna, director senior de inteligencia de amenazas en VMware.
"El área de superficie de ataque principal sigue siendo el robo de credenciales, lo que tiene la ventaja de que lleva más tiempo comprender que se ha producido un compromiso", dice. "El inicio de sesión puede parecer absolutamente normal y un atacante obtiene acceso a los recursos, pero no es hasta que las cosas comienzan a ir en la dirección equivocada que realmente se identifica la brecha".
Alerta de ransomware
Sin embargo, después del acceso inicial, se activa una variedad de malware basado en Linux. Desde ransomware hasta criptomineros e implantes de software de administración de acceso remoto, como Cobalt Strike, los atacantes han desarrollado una amplia gama de herramientas con las que comprometer y monetizar sistemas Linux comprometidos.
El programa ransomware BlackMatter es una variante del programa que se usó contra la red de distribución petroquímica Colonial Pipeline, mientras que HelloKitty fue originalmente una versión basada en Windows que se expandió al mundo Linux y es mejor conocida por su uso en el ataque a CD Projekt Red, creadores del videojuego Cyberpunk 2077.
Según el informe , también se han vuelto populares otras variantes dirigidas a Linux, y específicamente a los servidores Linux que alojan cargas de trabajo .
"El ransomware ha evolucionado recientemente para apuntar a las imágenes de host de Linux que se utilizan para activar las cargas de trabajo en entornos virtualizados", afirma el informe. "Este nuevo y preocupante desarrollo muestra cómo los atacantes buscan los activos más valiosos en entornos de nube para infligir el máximo daño a su objetivo".
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y sus socios internacionales también notaron la tendencia en una advertencia del 9 de febrero sobre amenazas específicas de ransomware. Entre los cambios más significativos observados en 2021 se encuentran el uso de phishing para obtener credenciales, explotar sistemas con configuraciones inseguras a través del protocolo de escritorio remoto (RDP) y ataques a la infraestructura de la nube, afirmaron las agencias internacionales de ciberseguridad.
"Los desarrolladores de ransomware se dirigieron a las infraestructuras de la nube para explotar las vulnerabilidades conocidas en las aplicaciones de la nube, el software de la máquina virtual y el software de orquestación de la máquina virtual", afirma la alerta . "Los actores de amenazas de ransomware también se dirigieron a las cuentas en la nube, las interfaces de programación de aplicaciones (API) en la nube y los sistemas de respaldo y almacenamiento de datos para negar el acceso a los recursos de la nube y cifrar los datos".
Los atacantes también están comenzando a usar herramientas más sofisticadas para administrar sus ataques a la infraestructura de Linux. Cobalt Strike es un sistema de gestión de ataques centrado en Windows utilizado por equipos rojos y probadores de penetración, pero los atacantes ahora lo están utilizando en campañas de Linux, según el informe de VMware.
"CobaltStrike se está volviendo más frecuente porque es la infraestructura C2 [comando y control] más madura y formalizada que existe", agrega Baskin. "Lo estamos viendo en un mayor uso por parte de los delincuentes, pero también vemos un uso adicional por parte de algunas empresas [que] quizás no pueden pagar una licencia".
La investigación de VMware sobre los servidores Cobalt Strike encontró 14 000 servidores al descargar los implantes del servidor de prueba y luego deconstruir la información en el archivo para recopilar información más específica. El grupo descubrió que una de cada seis versiones del programa Cobalt Strike tenía una ID de cliente de 0, lo que indica una versión de prueba, pero lo más probable es que estén descifradas. Otros cuatro ID personalizados representaron casi el 40 % de los servidores Cobalt Strike restantes, lo que indica que la protección en esas instancias también se vio comprometida.
Fuente: darkreading | somoslibres
