Linux é o principal alvo dos cibercriminosos em ambiente Multicloud

A VMware divulgou nesta quarta-feira (9/2) um relatório de ameaças intitulado “Exposing Malware in Linux-based Multi-Cloud Environments”. Como o sistema operacional em Nuvem mais comum, o Linux é uma parte essencial da infraestrutura digital e está rapidamente se tornando a porta de entrada de invasores em ambiente Multinuvem. As contramedidas atuais de malware estão principalmente focadas em lidar com ameaças baseadas em Windows, deixando muitas implementações de Nuvem pública e privada vulneráveis ​​a ataques direcionados a cargas de trabalho baseadas em Linux.

As principais descobertas detalham como os cibercriminosos estão usando malwares para atingir sistemas operacionais baseados em Linux. Segundo o relatório, o ransomware está evoluindo para direcionar imagens de host Linux usadas para girar cargas de trabalho em ambientes virtualizados; 89% dos ataques de cryptojacking usam bibliotecas relacionadas ao XMRig; e mais da metade dos usuários do Cobalt Strike podem ser cibercriminosos, ou pelo menos usar o Cobalt Strike de forma ilícita.

“Os cibercriminosos estão expandindo drasticamente seu escopo e adicionando malware direcionado a sistemas operacionais baseados em Linux ao seu kit de ferramentas de ataque para maximizar seu impacto com o mínimo de esforço possível”, disse Giovanni Vigna, diretor sênior de Inteligência de Ameaças da VMware. “Em vez de infectar um endpoint e depois navegar para um alvo de maior valor, os cibercriminosos descobriram que comprometer um único servidor pode oferecer o retorno e o acesso que estão procurando. Os invasores veem as Nuvens públicas e privadas como alvos de alto valor devido ao acesso que fornecem a serviços de infraestrutura crítica e dados confidenciais. Infelizmente, as contramedidas atuais de malware estão principalmente focadas em lidar com ameaças baseadas em Windows, deixando muitas implementações de Nuvem pública e privada vulneráveis ​​a ataques em sistemas operacionais baseados em Linux”, alertou.

À medida que o malware direcionado a sistemas operacionais baseados em Linux aumenta em volume e complexidade em meio a um cenário de ameaças em rápida mudança, as organizações devem priorizar a sua detecção. No relatório, a VMware Threat Analysis Unit (TAU) analisou as ameaças aos sistemas operacionais baseados em Linux em ambientes multinuvem: ransomware, criptomineradores e ferramentas de acesso remoto.

Ransomware tem como alvo a Nuvem para causar danos máximos

Como uma das principais causas de violação para as organizações, um ataque de ransomware bem-sucedido em um ambiente de Nuvem pode ter consequências devastadoras. Os ataques de ransomware contra implementações na Nuvem são direcionados e geralmente são combinados com exfiltração de dados, implementando um esquema de extorsão dupla, que aumenta as chances de sucesso. Um novo desenvolvimento mostra que o ransomware está evoluindo para direcionar imagens de host Linux usadas para girar cargas de trabalho em ambientes virtualizados. Os invasores agora estão procurando os ativos mais valiosos em ambientes de Nuvem para infligir o máximo de dano ao alvo. Exemplos incluem a família de ransomware Defray777, que criptografou imagens de host em servidores ESXi, e a família de ransomware DarkSide, que prejudicou as redes da Colonial Pipeline e causou uma escassez nacional de gasolina nos EUA

Ataques de cryptojacking usam XMRig para minerar Monero

Os cibercriminosos que procuram uma recompensa monetária instantânea geralmente visam criptomoedas usando uma das duas abordagens. Os cibercriminosos incluem a funcionalidade de roubo de carteira em malware ou monetizam ciclos de CPU roubados para minerar criptomoedas com sucesso em um ataque chamado cryptojacking. A maioria dos ataques de cryptojacking se concentra na mineração da moeda Monero (ou XMR) e o VMware TAU descobriu que 89% dos criptomineradores usavam bibliotecas relacionadas ao XMRig. Por esse motivo, quando as bibliotecas e módulos específicos do XMRig em binários do Linux são identificados, é provável que seja uma evidência de comportamento malicioso de criptomineração. A VMware TAU também observou que a evasão de defesa é a técnica mais usada pelos criptomineradores. Infelizmente, como os ataques de cryptojacking não interrompem completamente as operações de ambientes de nuvem como ransomware,

Cobalt Strike é a ferramenta de acesso remoto preferida dos invasores

Para obter controle e persistir em um ambiente, os invasores procuram instalar um implante em um sistema comprometido que lhes dê controle parcial da máquina. Malware, webshells e ferramentas de acesso remoto (RATs) podem ser implantes usados ​​por invasores em um sistema comprometido para permitir o acesso remoto. Um dos principais implantes usados ​​pelos invasores é o Cobalt Strike, uma ferramenta comercial de teste de penetração e equipe vermelha, e sua variante recente do Vermilion Strike baseado em Linux. Como o Cobalt Strike é uma ameaça tão onipresente no Windows, a expansão para o sistema operacional baseado em Linux demonstra o desejo dos agentes de ameaças de usar ferramentas prontamente disponíveis que visam o maior número possível de plataformas.

O VMware TAU descobriu mais de 14 mil Cobalt Strike Team Servers ativos na Internet entre fevereiro de 2020 e novembro de 2021. A porcentagem total de IDs de clientes do Cobalt Strike rachados e vazados é de 56%, o que significa que mais da metade dos usuários do Cobalt Strike podem ser cibercriminosos ou pelo menos usando Cobalt Strike de forma ilícita. O fato de RATs como Cobalt Strike e Vermilion Strike terem se tornado uma ferramenta de commodity para cibercriminosos representa uma ameaça significativa para as empresas.

“Desde que conduzimos nossa análise, ainda mais famílias de ransomware foram observadas gravitando para malware direcionado a sistemas baseados em Linux, com potencial para ataques adicionais que poderiam alavancar as vulnerabilidades do Log4j”, disse Brian Baskin, gerente de Pesquisa de Ameaças da VMware. “As descobertas deste relatório podem ser usadas para entender melhor a natureza desse malware e mitigar a crescente ameaça que ransomware, criptomineração e RATs têm em ambientes de várias Nuvens. À medida que os ataques direcionados à Nuvem continuam a evoluir, as organizações devem adotar uma abordagem Zero Trust para incorporar a segurança em toda a infraestrutura e abordar sistematicamente os vetores de ameaças que compõem sua superfície de ataque”, finalizou.

Serviço
www.vmware.com