Relatório da VMware mostra Linux em nuvem sob ameaça

O ransomware está evoluindo para contaminar imagens de hosts Linux usadas para executar cargas de trabalho em ambientes virtualizados
Da Redação
14/03/2022

O Linux está sob pesado bombardeio do cibercrime e dos agentes de ameaça de estados-nação: por ser o sistema operacional mais comum em cloud computing, o Linux é parte essencial da infraestrutura e tem se tornado a porta de entrada para invasores em ambientes multi-cloud. O risco está bem dimensionado no relatório intitulado “Exposing Malware in Linux-based Multi-Cloud Environments”, publicado pela VMware em fevereiro, cujas principais conclusões são as seguintes:

  • O ransomware está evoluindo para contaminar imagens de hosts Linux usadas para executar cargas de trabalho em ambientes virtualizados;
  • 89% dos ataques de cryptojacking usam bibliotecas relacionadas ao XMRig; 
  • Mais da metade dos usuários do Cobalt Strike usam o Cobalt Strike em ações ilícitas e portanto podem ser cibercriminosos.

Nesse relatório, a VMware Threat Analysis Unit (TAU) analisou as ameaças aos sistemas operacionais baseados em Linux em ambientes multi-cloud: ransomware, criptomineradores e ferramentas de acesso remoto. A unidade descobriu mais de 14.000 Cobalt Strike Team Servers ativos na internet entre fevereiro de 2020 e novembro de 2021. Além disso, a porcentagem total de IDs de clientes do Cobalt Strike acessados e vazados é de 56%, o que significa que mais da metade dos usuários podem ser cibercriminosos ou pelo menos usam o Cobalt Strike de forma ilícita. O fato de RATs como Cobalt Strike e Vermilion Strike terem se tornado uma ferramenta de commodity para cibercriminosos representa uma ameaça significativa para as empresas.

Veja isso
VMware alerta sobre ataques Log4J a servidores Horizon
Malware usa bug no Log4J para criptografar servidores VMware

Como uma das principais causas de violação para as organizações, um ataque de ransomware bem-sucedido em um ambiente de nuvem pode ter consequências devastadoras.  Eles geralmente são direcionados e combinados com exfiltração de dados, implementando um esquema de extorsão dupla que aumenta as chances de sucesso. Um novo desenvolvimento mostra que o ransomware está evoluindo para segmentar imagens de host Linux usadas para girar cargas de trabalho em ambientes virtualizados. Os invasores agora estão procurando os ativos mais valiosos em nuvem para infligir o máximo de dano ao alvo. Os exemplos incluem a família de ransomware Defray777, que criptografou imagens de host em servidores ESXi, e a família de ransomware DarkSide, que prejudicou as redes da Colonial Pipeline e causou uma escassez de gasolina em todo o país nos EUA.

 “Os cibercriminosos estão expandindo drasticamente seu escopo e adicionando ao seu kit de ferramentas de ataque malwares que visam sistemas operacionais baseados em Linux, a fim de maximizar seu impacto com o mínimo de esforço possível”, aponta Giovanni Vigna, diretor sênior de inteligência de ameaças da VMware. “Em vez de infectar um endpoint e navegar para um alvo de maior valor, os cibercriminosos descobriram que comprometer um único servidor pode oferecer o retorno e o acesso que estão procurando. Os invasores veem as nuvens públicas e privadas como alvos de alto valor devido ao acesso que fornecem a serviços de infraestrutura crítica e dados confidenciais. Infelizmente, as contramedidas atuais de malware estão principalmente focadas em lidar com ameaças baseadas em Windows, deixando muitas implantações de nuvem pública e privada vulneráveis a ataques em sistemas operacionais baseados em Linux”, finaliza.

Neste relatório foi aplicada uma composição de técnicas estáticas e dinâmicas para caracterizar várias famílias de malware observadas em sistemas baseados em Linux com base em um conjunto de dados com curadoria de metadados associados a binários Linux. Todas as amostras neste conjunto de dados são públicas e, portanto, podem ser facilmente acessadas usando o VirusTotal ou vários sites das principais distribuições Linux. A TAU coletou mais de 11.000 amostras benignas de várias distribuições Linux, como Ubuntu, Debian, Mint, Fedora, CentOS e Kali; além de um conjunto de dados de amostras para duas classes de ameaças: ransomware e criptomineradores. Por fim, foi reunido, ainda, um grupo de dados de binários ELF maliciosos do VirusTotal que foram usados como um conjunto de dados maliciosos de teste. A TAU começou a coleta de dados em junho de 2021 e concluiu em novembro de 2021.

Com informações da assessoria de imprensa

Compartilhar:

Últimas Notícias