logo

Cryptojacking a ransomware útoky cílí na linuxové systémy

Linux se jako nejběžnější cloudový operační systém pro útočníky rychle stává vstupní branou do veřejných a privátních cloudových implementací. Současná opatření proti malwaru se většinou zaměřují na řešení hrozeb namířených na systém Windows

Společnost VMware zveřejnila studii o počítačových hrozbách s názvem Odhalování malwaru v linuxových multicloudových prostředích, která podrobně popisuje, jak kybernetičtí útočníci užívají malware k napadání linuxových operačních systémů.

Hlavní zjištěníVMware:

"Kyberzločinci výrazně rozšiřují svůj záběr a do svého arzenálu přidávají malware zacílený na operační systémy založené na Linuxu, aby maximalizovali efekt s co nejmenším úsilím. Kybernetičtí zločinci zjistili, že namísto infikování koncového bodu a postupu k cílům s vyšší hodnotou, může být podstatně výhodnější napadnout jediný server a získat tak přístup, o který usilují. Útočníci považují veřejné i privátní cloudy za vysoce hodnotné cíle kvůli tomu, že poskytují přístup ke službám kritické infrastruktury a důvěrným datům. Dnešní opatření proti malwaru se však většinou zaměřují na obranu systémů Windows, takže mnoho veřejných a privátních cloudových implementací zůstává zranitelných vůči útokům na linuxové operační systémy," říká Giovanni Vigna, ředitel pro analýzu hrozeb ve společnosti VMware.

Vzhledem k tomu, že narůstá množství i důmyslnost malwaru zaměřeného na operační systémy založené na Linuxu, musí podniky klást větší důraz na detekci hrozeb.

Analytická jednotka TAU společnosti VMware ve své studii analyzovala hrozby, s nimiž se lze setkat u operačních systémů založených na Linuxu v multicloudových prostředích - ransomware, nástroje pro těžbu kryptoměn a nástroje pro vzdálený přístup.

Útočníci upřednostňují Cobalt Strike jako nástroj pro vzdálený přístup

Aby útočníci získali kontrolu a udrželi se v napadeném prostředí, snaží se do systému nainstalovat nástroje, které jej umožní na dálku částečně ovládat. K tomu může sloužit malware, webshelly nebo nástroje pro vzdálený přístup (RAT).

Jedním z nejčastěji užívaných nástrojů v tomto ohledu je komerční produkt pro penetrační testování Cobalt Strike a jeho nedávno vydaná varianta Vermilion Strike pro Linux.

Cobalt Strike je velmi rozšířenou hrozbou pro systémy Windows a jeho rozšíření na operační systém Linux dokazuje snahu útočníků pokrýt co nejvíce platforem pomocí snadno dostupných nástrojů.

Tým VMware TAU mezi únorem 2020 a listopadem 2021 na internetu objevil více než 14000 aktivních serverů Cobalt Strike Team. Celkový podíl prolomených a uniklých ID zákazníků Cobalt Strike dosahuje 56%, což znamená, že více než polovina uživatelů Cobalt Strike mohou být kybernetičtí zločinci, nebo alespoň užívají Cobalt Strike nezákonně.

Skutečnost, že RAT jako Cobalt Strike a Vermilion Strike se staly běžným nástrojem v rukou počítačových zločinců, představuje pro podniky významnou hrozbu.

"Od doby, kdy jsme zpracovávali naši analýzu, byly zaznamenány další rodiny linuxového ransomwaru, potenciálně zneužívajícího k útokům a zranitelnosti Log4j. Zjištění popisovaná v této studii mohou posloužit k lepšímu pochopení povahy linuxového malwaru a ke zmírnění rostoucí hrozby, kterou představuje ransomware, těžba kryptoměn a RAT pro multicloudová prostředí. Útoky namířené proti cloudu se neustále vyvíjejí. Podniky by proto měly zavádět opatření na principu nulové důvěry (tzv. Zero Trust) jako způsob zabezpečení celé infrastruktury, který systémově chrání proti hrozbám přicházejícím ze všech směrů," říká Brian Baskin, manažer výzkumu hrozeb ve společnosti VMware.

Cryptojackingové útoky využívají XMRig k těžbě kryptoměny Monero

Kybernetičtí zločinci, kteří hledají okamžitý finanční zisk, se často zaměřují na kryptoměny jednou ze dvou obvyklých metod. Těmi jsou jednak krádeže kryptoměnových peněženek pomocí malwaru, jednak zpeněžování ukradených cyklů CPU, tedy utajená těžba kryptoměn na úkor oběti při útoku zvaném cryptojacking.

Většina cryptojackingových útoků se zaměřuje na těžbu měny Monero (XMR) a analytický tým VMware TAU zjistil, že v 89% případů jsou k těžbě užívány knihovny související s XMRig.

Z tohoto vyplývá, že jsou-li v binárních souborech Linuxu odhaleny knihovny a moduly specifické pro XMRig, je to pravděpodobně důkaz neoprávněné těžby kryptoměn.

Tým VMware TAU si také povšiml, že nejčastěji užívanou technikou nástrojů pro těžbu kryptoměn na Linuxu je obcházení obranných mechanismů.

Vzhledem k tomu, že cryptojackingové útoky na rozdíl od ransomwaru zcela nenarušují provoz cloudových prostředí, je výrazně obtížnější je odhalit.

Ransomware cílí na cloud, aby způsobil maximální škody

Ransomware patří k hlavním příčinám narušení systémů a pro podniky a organizace může mít úspěšný útok na cloudové prostředí katastrofické následky. Ransomwarové útoky proti cloudovým implementacím bývají cílené a mnohdy jsou spojené s vyvedením dat, čímž útočníci získávají možnost dvojitého vydírání, a tedy vyšší šanci na úspěch.

Nejnovější vývoj ukazuje, že se linuxový ransomware snaží cílit na operační systémy serverů, které slouží ke spouštění aplikací ve virtualizovaných prostředích.

Útočníci nyní hledají to nejcennější, co se v cloudových prostředích nachází, aby napadenému cíli způsobili maximální škody.

Jako příklad lze uvést rodinu ransomwaru Defray777, která šifrovala operační systémy na serverech ESXi, nebo rodinu ransomwaru DarkSide, která ochromila produktovody Colonial Pipeline a způsobila v USA celoplošný nedostatek pohonných hmot.

Článek ze dne 17. února 2022 - čtvrtek

Další články od VMware INC

Multicloud firmám pomáhá vytěžit z dat ekonomický užitek

Nová struktura programu VMware Partner Connect

Inovace VMware pro multicloud pomáhají urychlit digitální transformaci podniků

Aktuální výzvy, kterým čelí bezpečnostní týmy

Centralizovaná správa infrastruktury s podporou VMware vSphere+ a vSAN+

Laterální zabezpečení pro multicloud

Kyberzločinci stále častěji cílí na finanční sektor

Stav Kubernetes 2022

Vývoj a modernizace aplikací s podporou VMware Tanzu

Dostupnost služeb VMware Cross-Cloud na tržišti Azure

Nová řešení pro zjednodušení maloobchodní edge infrastruktury

Distribuovaný cloud aliance Deloitte a VMware

Digitální transformace s podporou služby Google Cloud VMware Engine

Nové možnosti zabezpečení běhového prostředí kontejnerů

Vize automatizace života podle VMware

Cryptojacking a ransomware útoky cílí na linuxové systémy

Vývoj kybernetické bezpečnosti v roce 2022

VMware Telco Cloud ve službách Vodafonu

Jak využít příležitosti na periferii sítě

Modernizace aplikací v libovolném cloudu

Inovace multicloudové infrastruktury VMware Cloud

Kybernetická bezpečnost potřebuje posun ve vnímání priorit

Kyberzločinci přetvářejí moderní bezpečnostní prostředí

Multicloudová síť pro poskytování distribuovaných systémů 5G a služeb v reálném čase

Kybernetická bezpečnost v roce 2021

Ochrana veřejného cloudu se zabezpečením kontejnerů a Kubernetes

Inovace portfolia softwarových produktů VMware vRealize Cloud Management

Rychlý rozvoj inovací s podporou rozšířené spolupráce Lumen a VMware

IT již není považováno za brzdu distribuované práce

Inovace virtuální cloudové sítě VMware

Modernizace firemní infrastruktury s VMware Cloud on Dell EMC

Virtuální desktopy pomáhají úřadům s rychlým přechodem na home office

VMware posiluje portfolia cloudových produktů a služeb akvizicí Pivotal Software

Jaké bude podnikové IT v roce 2020

Provoz pracovní zátěže VMware na platformě Google Cloud

Migrace a mobilita aplikací s podporou VMware HCX

Měřič uhlíkové stopy optimalizuje řízení spotřeby energie datacentra

Virtualizace infrastruktury a cloud computing na vForum 2019

Inovace a zjednodušení partnerského programu VMware Partner Connect

Telekomunikační cloudová infrastruktura VMware posiluje síť Vodafone

Integrovaná řešení pro hybridní cloud s podporou Kubernetes

Poskytovatelé služeb profitují z VMware Cloud inovací

Hyperkonvergovaná infrastruktura VMware poskytuje široké spektrum funkcí

Inovace virtualizační platformy Workstation a Fusion

Příčiny problémů s realizaci podnikových inovací v éře digitalizace

Okta Identity Cloud s integrací do platformy VMware Workspace ONE

Nová distribuce VMware Integrated OpenStack 5 pro operátory a datová centra

Virtuální cloudová síť pro digitální éru

Lepší kontrola infrastruktury softwarově definovaných datacenter VMware

Nové funkce Workspace ONE