Todo mundo que usa sabe que o Linux é muito mais seguro que outros sistemas operacionais. No entanto, vez ou outra encontramos problemas de segurança como em qualquer outro. Porém, no caso do Linux, esses problemas tendem a ser corrigidos de forma rápida e completa. Infelizmente, se você não instalar o Linux corretamente em seus servidores ou nuvens, tudo pode estar em perigo. E foi justamente isso que a VMware Threat Analysis Unit (TAU) encontrou e mostrou em detalhes em seu novo relatório, Exposing Malware in Linux-based Multi-Cloud Environments. Foi assim que a empresa VMware encontrou malware perigoso que afeta exclusivamente o Linux.
Vamos começar com o que todos nós sabemos. Linux é o principal sistema operacional em nuvem. O Linux também alimenta mais de 78% dos sites mais populares. Sabendo disso, hackers podem ganhar mais dinheiro mirando nuvens no atacado do que indo atrás de PCs Windows no varejo. Assim, eles estão cada vez mais visando sistemas vulneráveis baseados em Linux.
VMware encontra malware perigoso no Linux
Os cibercriminosos podem ganhar muito dinheiro com essas ações. Nada comparável, no entanto, com os muitos problemas de segurança envolvendo o Windows. Mesmo assim, o retorno é garantido em caso de uma invasão bem sucedida em nuvem.
Normalmente, nem é preciso o uso de ferramentas sofisticadas de cracking. Então, basta que aproveitem uma autenticação fraca, vulnerabilidades e configurações incorretas em infraestruturas baseadas em contêiner para se infiltrar no ambiente com ferramentas de acesso remoto (RATs).
Após consolidarem uma base em sua nuvem de destino, eles geralmente tentarão executar ransomware ou implantar componentes de criptomineração. Mais uma vez, o grande objetivo deste jogo é ganhar dinheiro.
Ferramentas sofisticadas de ransomware
Infelizmente, a VMware descobriu que, como não nos concentramos na detecção dessas ameaças, nossas ferramentas existentes de prevenção de malware do Linux não estão à altura para a realização do trabalho.
Oransomware direcionado a sistemas baseados em Linux está se tornando cada vez mais sofisticado. Por exemplo, o ransomware direcionado ao Linux evoluiu recentemente para direcionar imagens de host e requer análise dinâmica e monitoramento de host.
Outro fator agravante é que existem pelo menos nove grandes famílias de ransomware visando sistemas Linux. Isso inclui uma versão Linux do REvil; Dark Side; BlackMatter; e Defray777. Vários deles estão disponíveis como Ransomware as a Service para pessoas sem muita noção técnica, mas que querem ganhar algum dinheiro rápido.
Criptojackers em geral
A criptomoeda escolhida pelos cryptojackers é a Monero (XMR). Oitenta e nove por cento dos criptomineradores do Linux usaram bibliotecas relacionadas ao XMRig. Os cibercriminosos usam principalmente duas abordagens aqui: Malware com funcionalidade de roubo de carteira, às vezes se passando por aplicativos baseados em criptografia. Ou a sempre popular monetização de ciclos de CPU roubados para minerar criptomoedas com sucesso. Atualmente, existem sete famílias significativas de ransomware indo atrás do Linux. Estes incluem XMRig, Sysrv e Mexalz.
Além de mirarem o Linux, muitos deles se especializam em ir atrás de configurações comuns de nuvem. Por exemplo, os agentes de ameaças do TeamTNT visam pods abertos do Kubernetes e implantações do Docker para implantar criptomineradores XMRig. Para evitar a detecção, ele sequestra o mecanismo de carregamento da biblioteca para ocultar diretórios específicos no sistema de arquivos /proc, ocultando assim os processos do criptominerador.
Para colocar o malware no lugar, os RATs estão se tornando cada vez mais populares. A equipe de pesquisa da VMware descobriu mais de 14.000 servidores ativos da equipe Cobalt Strike na Internet desde o final de fevereiro de 2020. Este software Red Team foi feito para ajudá-lo a proteger seus sistemas, mas com 56% dos servidores Cobalt Strike aparentemente rachados ou vazados Cobalt Instâncias de greve, é seguro dizer que a maioria delas está sendo usada por bandidos que procuram instâncias Linux vulneráveis.
O que você pode fazer
Então, o que você pode fazer sobre tudo isso? A VMware TAU explica que você precisa de muitos tijolos em sua parede. A VMware, é claro, recomenda sua própria solução Endpoint Detection and Response (EDR) e Network Detection and Response (NDR). Estas são boas ferramentas, mas existem outros programas que podem ajudar. Portanto, praticar uma boa segurança do Linux e do contêiner é uma obrigação.
Independentemente de qual ferramenta usar, o importante é garantir proteção ao sistema e aos dados nele presentes.
Via Thenewstack