Aanvallen op Linux-systemen nemen zowel in volume als complexiteit toe. Criminelen gebruiken kwetsbaarheden vooral voor ransomware-aanvallen, cryptominers en toegang op afstand. Beveiligingsonderzoekers van Vmware delen in een nieuw rapport de meest voorkomende methoden die kwaadwillenden gebruiken en roepen op om die dreigingen serieus te nemen om schade te voorkomen.
In het onderzoeksrapport Exposing Malware in Linux-Based Multi-Cloud Environments staat uitgelegd hoe cybercriminelen malware gebruiken om Linux-gebaseerde besturingssystemen aan te vallen.
Een belangrijke bevinding uit het rapport is dat ransomware zich steeds vaker richt op host images die worden gebruikt om workloads in gevirtualiseerde omgevingen te draaien. Verder blijkt dat 89 procent van de cryptojacking-aanvallen gebruik maakt van XMRig-gerelateerde libraries. Ook zien de onderzoekers van VMware een toename van de inzet van systemen voor penetratietests en hulp op afstand, zoals de simulatietool Cobalt Strike. Vaak worden illegale accounts aangemaakt om systemen binnen te dringen.
‘In plaats van een endpoint te infecteren en daarna naar een hoogwaardig target te navigeren, hebben cybercriminelen ontdekt dat het compromitteren van een enkele server een enorme winst kan opleveren. Op deze manier krijgen ze ook de toegang waarnaar ze op zoek zijn’, stelt hoofd dreigingsinformatie Giovanni Vigna.
Hij ziet dat de huidige maatregelen tegen malware vooral gericht zijn op Windows-gebaseerde dreigingen. Publieke en private clouds blijven daardoor kwetsbaar voor aanvallen op Linux-systemen. Zeker nu aanvallers publieke en private clouds zien als waardevolle doelwitten doordat deze toegang bieden tot essentiële infrastructuur-diensten en vertrouwelijke data.
Ransomware
Ransomware voor Linux richt zich ook steeds meer op host images die worden gebruikt om workloads in gevirtualiseerde omgevingen te draaien. Vmware: ‘Criminelen zijn op zoek naar de meest waardevolle assets in cloudomgevingen om het doelwit maximale schade toe te brengen.’ Als voorbeelden noemen de onderzoekers de Defray777-variant, die host images op ESXi-servers versleutelde, en de DarkSide-variant. Die laatste legde de netwerken van Colonial Pipeline lam en veroorzaakte een benzinetekort in de VS.
Cybercriminelen die voor snel financieel gewin gaan, richten zich vaak op cryptovaluta en gebruiken daarbij twee veelvoorkomende methoden. Ze nemen functionaliteit voor het stelen van wallets op in malware of ze maken, in een aanval die cryptojacking wordt genoemd, gebruik van gestolen cpu-cycli om cryptovaluta te minen.
VMware ziet dat de meeste cryptojacking-aanvallen gericht zijn op het minen van de Monero-valuta. Het bedrijf ontdekte dat 89 procent van de cryptominers XMRig-gerelateerde libraries gebruikte. Als deze libraries en modules in Linux-binaries worden geïdentificeerd, is dat waarschijnlijk een bewijs van kwaadaardige cryptomining. De onderzoekers waarschuwen dat cryptojacking moeilijker op te sporen is doordat een aanval de werking van cloudomgevingen niet volledig verstoort. Bij ransomware of ddos is dat vaak wel het geval.