O malware direcionado a ambientes Linux aumentou enormemente no ano passado. Os agentes de ameaças vem usando uma variedade de técnicas para realizar as operações. O Linux está em risco e o aumento nos número de operações de malwares é a prova disso!
O Linux alimenta uma ampla variedade de dispositivos da Internet das Coisas (IoT). Ainda assim, não é feito o suficiente para proteger as máquinas que o executam. “O malware Linux foi amplamente ignorado”, diz Giovanni Vigna, diretor sênior de inteligência de ameaças da VMware. “Como a maioria dos hosts de nuvem executa Linux, a capacidade de comprometer plataformas baseadas em Linux permite que o invasor acesse uma enorme quantidade de recursos ou inflija danos substanciais por meio de ransomware e limpadores”.
Nos últimos anos, os cibercriminosos e os atores do estado-nação têm como alvo os sistemas baseados em Linux. O objetivo geralmente era se infiltrar em redes corporativas e governamentais ou obter acesso a infraestrutura crítica, de acordo com um relatório recente da VMware. Eles aproveitam a autenticação fraca, vulnerabilidades não corrigidas e configurações incorretas do servidor, entre outros.
O malware Linux está se tornando não apenas mais prevalente, mas também mais diversificado. A empresa de segurança Intezer analisou a singularidade do código das variedades de malware para ver como os autores são inovadores. Ela encontrou um aumento na maioria das categorias de malware em 2021 em comparação com 2020, incluindo ransomware, trojans bancários e botnets.
Estes são os seis tipos de ataques no Linux a serem observados:
Ransomware
Nos últimos anos, gangues de ransomware começaram a espiar ambientes Linux. A qualidade das amostras de malware varia muito, mas gangues como Conti, DarkSide, REvil e Hive estão atualizando rapidamente seus conjuntos de habilidades.
Normalmente, os ataques de ransomware contra ambientes de nuvem são cuidadosamente planejados. De acordo com a VMware, os cibercriminosos tentam comprometer totalmente sua vítima antes de começar a criptografar os arquivos.
Malware Linux Cryptojacking
Cryptojacking é um dos tipos mais comuns de malware Linux porque pode produzir dinheiro rapidamente. Um dos primeiros ataques notáveis ????aconteceu em 2018, quando a nuvem pública de Tesla foi vítima.
Cryptojacking tornou-se mais prevalente, com XMRig e Sysrv sendo algumas das famílias de criptomineradores mais proeminentes. Um relatório da SonicWall mostrou que o número de tentativas aumentou 19% em 2021 em relação a 2020. “Para clientes governamentais e de saúde, esse aumento foi de três dígitos, com o cryptojacking crescendo 709% e 218%, respectivamente”, segundo o documento . A empresa de segurança contou uma média de 338 tentativas de cryptojacking por rede de clientes, em média.
Três famílias de malware visando IoT: XorDDoS, Mirai e Mozi
A IoT roda em Linux, com poucas exceções, e a simplicidade dos dispositivos pode ajudar a transformá-los em potenciais vítimas. A CrowdStrike informou que o volume de malware direcionado a gadgets operando no Linux aumentou 35% em 2021 em comparação a 2020. Três famílias de malware representam 22% do total: XorDDoS, Mirai e Mozi. Eles seguem o mesmo padrão de infectar dispositivos, acumulando-os em uma botnet e, em seguida, usando-os para realizar ataques DDoS .
O Mirai, um Trojan Linux que usa ataques de força bruta Telnet e Secure Shell (SSH) para comprometer dispositivos, é visto como o ancestral comum de muitas variedades de malware DDoS do Linux. Outro próspero Trojan Linux é o XorDDoS. A Microsoft descobriu que essa ameaça aumentou 254% nos últimos seis meses. O XorDDoS usa variantes de si mesmo compiladas para arquiteturas Linux ARM, x86 e x64 para aumentar a probabilidade de uma infecção bem-sucedida.
Como o Mirai, ele usa ataques de força bruta para obter acesso a seus alvos e, uma vez dentro, verifica os servidores Docker com a porta 2375 aberta para obter acesso root remoto ao host sem a necessidade de uma senha. O Mozi compromete seus alvos de maneira um pouco semelhante, mas para evitar que outro malware tome seu lugar, ele bloqueia as portas SSH e Telnet. Ele cria uma rede de botnet ponto a ponto e usa o sistema de tabela de hash distribuído (DHT) para ocultar sua comunicação com o servidor de comando e controle por trás do tráfego DHT legítimo.
Ataques patrocinados pelo estado visam ambientes Linux
Pesquisadores de segurança que monitoram grupos de estados-nação notaram que eles visam cada vez mais ambientes Linux. A ESET estava entre as empresas que acompanharam de perto o conflito e suas implicações de segurança cibernética. “Há um mês, estávamos analisando o Industroyer2 , um ataque contra um fornecedor de energia ucraniano”, diz Marc-Étienne Léveillé, pesquisador sênior de malware da ESET. “Esse ataque incluiu worms Linux e Solaris que se espalharam usando SSH e talvez credenciais roubadas. Este foi um ataque muito direcionado que claramente tinha o objetivo de destruir dados de bancos de dados e sistemas de arquivos.”
O limpador do Linux “destrói todo o conteúdo dos discos conectados ao sistema usando fragmento , se disponível, ou simplesmente dd (com if=/dev/random) caso contrário”, de acordo com o artigo da ESET.
Ataques sem arquivo são difíceis de detectar
Pesquisadores de segurança do Alien Labs da AT&T viram que vários atores, incluindo o TeamTNT, começaram a usar o Ezuri, uma ferramenta de código aberto escrita em Golang. Os invasores usam o Ezuri para criptografar códigos maliciosos. Na descriptografia, a carga útil é executada diretamente da memória sem deixar rastros no disco, o que dificulta a detecção desses ataques pelo software antivírus.
O principal grupo associado a esta técnica, TeamTNT, tem como alvo os sistemas Docker que não estão configurados corretamente, com o objetivo de instalar bots DDoS e criptomineradores.
Malware Linux tem como alvo máquinas Windows
O malware do Linux também pode explorar máquinas Windows por meio do Windows Subsystem for Linux (WSL), um recurso do Windows que permite que os binários do Linux sejam executados nativamente nesse sistema operacional. O WSL deve ser instalado manualmente ou ingressando no programa Windows Insider, mas os invasores podem instalá-lo se tiverem acesso elevado.
Os invasores também portaram funcionalidades das ferramentas do Windows para o Linux, visando atingir mais plataformas. Um exemplo é o Vermilion Strike, que é baseado em uma ferramenta de teste de penetração popular para Windows, CobaltStrike, mas pode ser usado para atingir Windows e Linux.
Via: CSOOnline
