Por: Canal Tech
Por ser o sistema operacional mais comum nas nuvens, o Linux é uma parte essencial da infraestrutura digital e tem se tornado a porta de entrada para invasores em ambientes cloud. Esse cenário se complica, porém, ao observamos que a maioria das ferramentas de segurança foram feitas para o Windows, deixando o software gratuito e de código aberto mais vulnerável a possíveis ameaças.
Diante deste cenário, a VMware divulgou um relatório de ameaças intitulado Exposing Malware in Linux-based Multi-Cloud Environments (Expondo malwares em ambientes multi-cloud baseados em Linux, em tradução livre). Entre as principais descobertas que detalham como os cibercriminosos usam malware para atingir sistemas operacionais baseados em Linux estão:
● O ransomware está evoluindo para direcionar imagens de host Linux usadas para girar cargas de trabalho em ambientes virtualizados;
● 89% dos ataques de cryptojacking usam bibliotecas relacionadas ao XMRig;
● Mais da metade dos usuários do Cobalt Strike podem ser cibercriminosos ou pelo menos usam o Cobalt Strike de forma ilícita.
“Os cibercriminosos estão expandindo drasticamente seu escopo e adicionando malwares que visam sistemas operacionais baseados em Linux ao seu kit de ferramentas de ataque, a fim de maximizar seu impacto com o mínimo de esforço possível”, aponta Giovanni Vigna, diretor sênior de inteligência de ameaças da VMware. “Em vez de infectar um endpoint e navegar para um alvo de maior valor, os cibercriminosos descobriram que comprometer um único servidor pode oferecer o retorno e o acesso que estão procurando”, complementa.
As principais ameaças detectadas para Linux
O relatório destaca também algumas ameaças que estão atingindo o Linux com mais frequência. A primeira delas é o ransomware, que segundo a análise, está evoluindo para segmentar imagens de host Linux usadas para girar cargas de trabalho em ambientes virtualizados. Os invasores agora estão procurando os ativos mais valiosos em nuvem para infligir o máximo de dano ao alvo.
Os exemplos de agentes maliciosos detectados afetando o Linux incluem a família de ransomware Defray777, que criptografou imagens de host em servidores ESXi, e a família de ransomware DarkSide, que prejudicou as redes da Colonial Pipeline e causou problemas de fornecimento de combustível nos EUA em 2021.
Os pesquisadores também encontraram várias ocorrências de cryptojacking (ataque de roubo de criptomoedas) no Linux, com a maioria se concentrando na mineração da moeda Monero (ou XMR), o que resultou na VMware descobrindo que 89% dos criptomineradores usavam bibliotecas relacionadas ao XMRig. Por esse motivo, quando as bibliotecas e módulos específicos desse programa são identificados em binários do Linux, é provável que a máquina esteja infectada com essas ameaças.
Por fim, os pesquisadores também detectaram um grande uso do Cobalt Strike, uma ferramenta comercial de teste de penetração utilizada por criminosos, normalmente no Windows, para abrir backdoors permanentes em sistemas. A expansão para o Linux desse tipo de utilização mostra, segundo o relatório, o desejo dos invasores de usar ferramentas prontamente disponíveis que visam o maior número possível de plataformas.
No total, a VMware descobriu mais de 14 mil servidores do Cobalt Strike ativos na internet entre fevereiro de 2020 e novembro de 2021. Além disso, a porcentagem total de IDs de clientes do Cobalt Strike acessados e vazados é de 56%, o que significa que mais da metade dos usuários podem ser cibercriminosos ou pelo menos utilizam o Cobalt Strike de forma ilícita, tanto no Windows quanto no Linux.