Por ser o sistema operacional mais comum nas nuvens, o Linux é uma parte essencial da infraestrutura digital e tem se tornado a porta de entrada para invasores em ambientes multi-cloud. As atuais contramedidas de malware estão focadas principalmente em lidar com ameaças baseadas em Windows, deixando muitas implantações de nuvem pública e privada vulneráveis a ataques direcionados a cargas de trabalho baseadas em Linux.
Diante deste cenário, a VMware divulgou um relatório de ameaças intitulado “Exposing Malware in Linux-based Multi-Cloud Environments” (“Expondo malwares em ambientes multi-cloud baseados em Linux”, em tradução livre). Entre as principais descobertas que detalham como os cibercriminosos usam malware para atingir sistemas operacionais baseados em Linux estão:
• O ransomware está evoluindo para direcionar imagens de host Linux usadas para girar cargas de trabalho em ambientes virtualizados;
• 89% dos ataques de cryptojacking usam bibliotecas relacionadas ao XMRig;
• Mais da metade dos usuários do Cobalt Strike podem ser cibercriminosos ou pelo menos usam o Cobalt Strike de forma ilícita.
“Em vez de infectar um endpoint e navegar para um alvo de maior valor, os cibercriminosos descobriram que comprometer um único servidor pode oferecer o retorno e o acesso que estão procurando. Os invasores veem as nuvens públicas e privadas como alvos de alto valor devido ao acesso que fornecem a serviços de infraestrutura crítica e dados confidenciais. Infelizmente, as contramedidas atuais de malware estão principalmente focadas em lidar com ameaças baseadas em Windows, deixando muitas implantações de nuvem pública e privada vulneráveis a ataques em sistemas operacionais baseados em Linux”, comenta aponta Giovanni Vigna, diretor sênior de inteligência de ameaças da VMware.
À medida que o malware direcionado ao Linux aumenta em volume e complexidade em meio a um cenário de ataques mudando rapidamente, as organizações devem priorizar a detecção destes. Neste relatório, a VMware Threat Analysis Unit (TAU) analisou as ameaças aos sistemas operacionais baseados em Linux em ambientes multi-cloud: ransomware, criptomineradores e ferramentas de acesso remoto.
Ransomware tem como alvo a nuvem para causar danos máximos
Como uma das principais causas de violação para as organizações, um ataque de ransomware bem-sucedido em um ambiente de nuvem pode ter consequências devastadoras. Eles geralmente são direcionados e combinados com exfiltração de dados, implementando um esquema de extorsão dupla que aumenta as chances de sucesso. Um novo desenvolvimento mostra que o ransomware está evoluindo para segmentar imagens de host Linux usadas para girar cargas de trabalho em ambientes virtualizados.
Os invasores agora estão procurando os ativos mais valiosos em nuvem para infligir o máximo de dano ao alvo. Os exemplos incluem a família de ransomware Defray777, que criptografou imagens de host em servidores ESXi, e a família de ransomware DarkSide, que prejudicou as redes da Colonial Pipeline e causou uma escassez de gasolina em todo o país nos EUA.
Ataques de cryptojacking usam XMRig para minerar Monero
Os cibercriminosos que procuram uma recompensa monetária instantânea geralmente visam criptomoedas usando uma das duas abordagens: incluem a funcionalidade de roubo de carteira em um malware ou monetizam ciclos de CPU roubados para minerar criptomoedas com sucesso em um ataque chamado cryptojacking. A maioria dos ataques de cryptojacking se concentra na mineração da moeda Monero (ou XMR) e a VMware TAU descobriu que 89% dos criptomineradores usavam bibliotecas relacionadas ao XMRig.
Por esse motivo, quando as bibliotecas e módulos específicos do XMRig em binários do Linux são identificados, é provável que seja uma evidência de comportamento malicioso de criptomineração. O relatório também revelou que a evasão de defesa é a técnica mais usada pelos criptomineradores. Infelizmente, como os ataques de cryptojacking não interrompem completamente as operações de ambientes de nuvem como ransomware, eles são muito mais difíceis de detectar.
Cobalt Strike é a ferramenta de acesso remoto preferida dos invasores
Para obter controle e persistir em um ambiente, os invasores procuram instalar um implante em um sistema comprometido que lhes dê controle parcial da máquina. Malwares, webshells e ferramentas de acesso remoto (RATs), por exemplo, podem ser implantes usados por invasores em um sistema comprometido para permitir o acesso remoto. Um dos principais usados pelos invasores é o Cobalt Strike, uma ferramenta comercial de teste de penetração e Red Team e sua variante recente Vermilion Strike baseada em Linux. Como o Cobalt Strike é uma ameaça tão onipresente no Windows, a expansão para o sistema operacional baseado em Linux demonstra o desejo dos invasores de usar ferramentas prontamente disponíveis que visam o maior número possível de plataformas.
A VMware TAU descobriu mais de 14.000 Cobalt Strike Team Servers ativos na internet entre fevereiro de 2020 e novembro de 2021. Além disso, a porcentagem total de IDs de clientes do Cobalt Strike acessados e vazados é de 56%, o que significa que mais da metade dos usuários podem ser cibercriminosos ou pelo menos usam o Cobalt Strike de forma ilícita. O fato de RATs como Cobalt Strike e Vermilion Strike terem se tornado uma ferramenta de commodity para cibercriminosos representa uma ameaça significativa para as empresas.
“Desde que conduzimos nossa análise, ainda mais famílias de ransomware foram observadas gravitando em torno de malware direcionado a sistemas baseados em Linux, com potencial para ataques adicionais que poderiam alavancar as vulnerabilidades do Log4j.”, afirma Brian Baskin, gerente de pesquisa de ameaças na VMware.
