+38/050/370-3627
+38/067/502-3306
+38/044/257-2444
Новости

Vmware провела дослідження загроз шкідливого програмного забезпечення на базі Linux Exposing Malware in Linux-Based Multi-Cloud Environments

Vmware провела дослідження загроз шкідливого програмного забезпечення на основі шкідливих програм Linux, що викривають шкідливе програмне забезпечення в багатохмарних середовищах на базі Linux

Linux, як найпоширеніша хмарна операційна система, є основним компонентом цифрової  інфраструктури і тому часто стає мішенню зловмисників для проникнення в мультихмарне середовище. Більшість рішень для захисту від шкідливих програм в першу чергу орієнтовані на захист пристроїв на базі Windows. Це робить багато публічних і приватних хмар вразливими до атак, спрямованих на робочі навантаження за допомогою Linux.

Ключові висновки, які описують сценарії атаки на Linux шкідливих програм, включають: програми-вимагачі все частіше націлюються на сервери, що використовуються для розгортання робочих навантажень у віртуалізованих середовищах; 89% атак криптошахрайства використовують бібліотеки, пов'язані з криптомінером XMRig; більше половини користувачів кобальтового удару можуть бути кіберзлочинцями або, принаймні, використовувати Cobalt Strike незаконно.

«Кіберзлочинці розширюють свою діяльність і додають до свого арсеналу шкідливе програмне забезпечення, націлене на операційні системи на базі Linux, щоб максимізувати вплив з мінімальними зусиллями», - сказав старший директор Vmware з розвідки загроз безпеці. Злом одного сервера може принести зловмисникам великий прибуток і забезпечити доступ до основної цілі без необхідності атакувати кінцевий пристрій. Зловмисники атакують як публічні, так і приватні хмарні середовища. На жаль, існуючі засоби захисту від шкідливих програм в основному спрямовані на усунення загроз серверам під управлінням Windows, тому багато хмар стають вразливими до атак, основне призначення яких - ОС на базі Linux ».

Успішні атаки програм-вимагачів на хмарні середовища можуть мати катастрофічні наслідки для безпеки. Атаки програм-вимагачів на сервіси, розгорнуті в хмарних середовищах, часто поєднуються з порушеннями даних, саме так реалізується схема подвійних програм-вимагачів. Програми-вимагачі еволюціонували для атаки/залучення хостів, що використовуються для розгортання робочих навантажень у віртуалізованих середовищах. Зловмисники зараз шукають найцінніші активи в хмарних середовищах, щоб завдати максимальної шкоди. Прикладами можуть служити програми-вимагачі Defray777, які шифрували дані на серверах ESXi, і програми-вимагачі DarkSide , які скалічили мережі Colonial Pipeline , викликаючи дефіцит бензину по всій території США.

Кіберзлочинці, спрямовані на отримання швидкого прибутку, часто полюють за криптовалютою, використовуючи один з двох підходів до атаки: введення шкідливих програм для крадіжки з онлайн-гаманців; монетизувати вкрадені цикли процесора для майнінгу криптовалюти (так зване криптошахрайство). Більшість цих атак зосереджені на майнінгу валюти Monero (або XMR) – 89% атак криптошахрайства використовують бібліотеки, пов'язані з XMRig. Саме тому, коли в бінарях Linux виявляються специфічні для XMRig бібліотеки і модулі , це свідчить про шкідливу активність з метою криптомайнінгу.

Щоб встановити контроль і залишитися в навколишньому середовищі, зловмисники прагнуть встановити в скомпрометовану систему вкладку програмного забезпечення, яка дасть їм частковий контроль над пристроєм. В систему можуть бути вбудовані шкідливі програми, веб-сайти і засоби віддаленого доступу. Однією з основних програмних закладок є Cobalt Strike, комерційний інструмент тестування на проникнення, а також інструменти Red Team та Vermilion Strike на базі Linux .

У період з лютого 2020 року по листопад 2021 року підрозділ розвідки загроз Vmware виявив у мережі понад 14 000 активних серверів Cobalt Strike Team. Загальна частка ідентифікаторів клієнтів Cobalt Strike, зламаних і завантажених в мережу, становить 56%, тобто більше половини користувачів cobalt Strike можуть бути кіберзлочинцями або, принаймні, використовувати Cobalt Strike незаконно. Той факт, що такі інструменти віддаленого доступу, як Cobalt Strike і Vermilion Strike, стали широко використовуватися кіберзлочинцями, становить серйозну загрозу для компаній.

«Наше дослідження показало, що все більше сімейств програм-вимагачів переходять в категорію шкідливих програм на базі Linux, існує ймовірність атак , які можуть використовувати вразливості Log4j», - сказав менеджер з дослідження загроз Vmware. «Висновки нашого звіту можуть бути використані для кращого розуміння природи шкідливого програмного забезпечення на базі Linux і містять зростаючу загрозу, яку зараз становлять програми-вимагачі, криптомінери та програми віддаленого доступу для мультихмарних середовищ. Оскільки атаки, націлені на хмару, продовжують розвиватися, організації повинні дотримуватися концепції Zero Trust про «нульову довіру», щоб забезпечити безпеку всієї інфраструктури».

Другие новости