Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию
ГлавнаяКомпанииБрендыКаталогСобытияКонтакты
En
Главная » Компании » VMware » Аналитика » Системы Linux подвергаются атакам программ-вымогателей и криптоджекинга

Системы Linux подвергаются атакам программ-вымогателей и криптоджекинга

Рубрика: «Информационная безопасность»
18.02.2022

Компания VMware установила, что более 50% пользователей Cobalt Strike используют этот программный инструмент для кибератак

VMware, Inc. (NYSE: VMW) провела исследование угроз вредоносного ПО на базе Linux Exposing Malware in Linux-Based Multi-Cloud Environments. Linux, как наиболее распространенная облачная операционная система, является основным компонентом цифровой инфраструктуры и поэтому часто становится мишенью злоумышленников для проникновения в мультиоблачную среду. Большинство решений для защиты от вредоносного ПО в основном ориентированы на защиту устройств на базе Windows. Это делает многие публичные и частные облака уязвимыми для атак, направленных на рабочие нагрузки, использующие Linux.

В числе главных выводов, в которых описаны сценарии использования вредоносных программ злоумышленников для атак на ОС Linux:

  • Программы-вымогатели все чаще нацелены на серверы, используемые для развертывания рабочих нагрузок в виртуализированных средах;
  • В 89% атак методом криптоджекинга используются библиотеки, связанные с криптомайнером XMRig;
  • Более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно.

«Киберпреступники расширяют масштабы своей деятельности и добавляют в свой арсенал вредоносные программы, цель которых – операционные системы на базе Linux, чтобы добиться максимального эффекта при минимальными усилиях, — отметил Джованни Винья (Giovanni Vigna), старший директор подразделения анализа угроз безопасности компании VMware. — Взлом одного сервера способен принести злоумышленникам большую прибыль и обеспечить доступ к главной цели без необходимости атаковать конечное устройство. Злоумышленники атакуют как публичные, так и частные облачные среды. К сожалению, существующие средства противодействия вредоносному ПО в основном направлены на устранение угроз для серверов под управлением Windows, поэтому многие облака становятся уязвимыми для атак, основная цель которых – ОС на базе Linux».

Программы-вымогатели нацелены на облака, чтобы нанести максимальный ущерб

Успешно проведенные атаки программ-вымогателей на облачные среды могут иметь катастрофические последствия для систем безопасности. Атаки программ-вымогателей на сервисы, развернутые в облачных средах, часто сочетаются с утечками данных – так реализуется схема двойного вымогательства. Программы- вымогатели эволюционировали, чтобы атаковать/задействовать хосты, используемые для развертывания рабочих нагрузок в виртуализированных средах.

Злоумышленники теперь ищут наиболее ценные активы в облачных средах, чтобы нанести максимальный ущерб. Примерами этому могут служить программы-вымогатели семейства Defray777, которые шифровали данные на серверах ESXi, и программы-вымогатели семейства DarkSide, нанесшие ущерб сетям компании Colonial Pipeline, что вызвало нехватку бензина на всей территории США.

Криптоджекинг: использование XMRig для майнинга криптовалюты

Киберпреступники, нацеленные на быстрое получение прибыли, часто охотятся за криптовалютой, используя для атаки один из двух подходов: 1) внедряют вредоносное ПО для кражи из онлайн-кошельков; 2) монетизируют похищенные циклы центрального процессора для майнинга криптовалют (так называемый «криптоджекинг»). Большинство таких атак сосредоточено на майнинге валюты Monero (или XMR) – в 89% атак криптоджекинга используются библиотеки, связанные с XMRig. Именно поэтому, когда в когда в бинарных файлах Linux обнаруживаются специфичные для XMRig библиотеки и модули, это свидетельствует о вредоносной активности с целью криптомайнинга.

Злоумышленники предпочитают использовать Cobalt Strike для получения удаленного доступа

Чтобы установить контроль и удержаться в среде, злоумышленники стремятся установить во взломанную систему программную закладку, которая даст им частичный контроль над устройством. Вредоносное ПО, веб-сайты и средства удаленного доступа могут быть внедрены в систему. Одна из основных программных закладок – это Cobalt Strike, средство коммерческого тестирования на проникновение злоумышленника, и инструменты Red Team и Vermilion Strike на базе Linux.

За период с февраля 2020 по ноябрь 2021 года подразделение анализа угроз VMware обнаружило в сети более 14 000 активных серверов Cobalt Strike Team. Общий процент взломанных и выложенных в сеть идентификаторов клиентов Cobalt Strike составляет 56%, то есть более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно. Тот факт, что такие средства удаленного доступа, как Cobalt Strike и Vermilion Strike, стали массово использоваться киберпреступниками, представляет серьезную угрозу для компаний.

«Наше исследование показало, что все больше семейств программ-вымогателей переходят в категорию вредоносного ПО на базе Linux, существует вероятность атак, которые могут использовать уязвимости Log4j, — заявил Брайан Баскин (Brian Baskin), менеджер по исследованию угроз компании VMware. — Выводы нашего отчета могут быть использованы для более глубокого понимания природы вредоносных программ на базе Linux и сдерживания растущей угрозы, которую сейчас представляют программы-вымогатели, криптомайнеры и программы удаленного доступа для мультиоблачных сред. Поскольку атаки, нацеленные на облако, продолжают развиваться, организациям следует придерживаться концепции «нулевого доверия» Zero Trust для обеспечения безопасности всей инфраструктуры».