.
Os ambientes Linux sofreram um grande aumento nos ataques de malware no ano passado, e os malfeitores estão realizando seus ataques com a ajuda de várias técnicas diferentes. Como um sistema operacional que hospeda vários servidores e back-ends para outros aplicativos, o Linux tornou-se alvo de cibercriminosos interessados em comprometer a infraestrutura crítica.
Considerando que o malware direcionado ao Linux está aumentando e se tornando mais sofisticado, as organizações devem entender quais ataques devem procurar e qual a melhor forma de proteger sua infraestrutura crítica ao longo do caminho. Para esse fim, vamos nos aprofundar no que é um ataque de malware no Linux, bem como nos mais comuns a serem observados.
Ataques de malware no Linux: o que são?
A maioria dos hosts do ambiente de nuvem moderno usa o Linux como sistema operacional, contribuindo para o recente aumento de ataques de malware direcionados ao Linux. Atores de ameaças que se infiltram com sucesso em ambientes baseados em Linux podem comprometer uma vasta gama de ativos confidenciais e usar ransomware para causar danos graves à infraestrutura crítica.
Nos últimos anos, maus atores atacaram sistemas baseados em Linux para obter acesso a redes e comprometer a infraestrutura crítica. Esses ataques foram bem sucedidos graças a vulnerabilidades e problemas com configurações de autenticação e servidor. Na verdade, esses ataques não só foram extremamente bem-sucedidos, mas também estão se diversificando. As cepas de malware direcionadas a plataformas baseadas em Linux têm aumentado em categorias como trojans e ransomware desde 2020.
Tipos de ataques de malware do Linux a serem observados
À medida que mais organizações migram para ambientes hospedados em nuvem que usam o Linux para operar, é provável que os ataques de malware do Linux continuem aumentando. Como a exclusividade de código encontrada em cepas de malware direcionadas ao Linux continua a aumentar, é essencial que as organizações entendam quais ataques devem ser observados e qual a melhor forma de se defender contra eles.
Para isso, vamos examinar alguns dos tipos mais comuns de malware para Linux.
Malware direcionado a imagens de VM
Gangues de ransomware recentemente começaram a farejar ambientes baseados em Linux vulneráveis a ataques. E embora muitas amostras de malware não sejam exatamente impressionantes em qualidade, grupos perigosos como colmeiaConti e outros estão melhorando ativamente a qualidade de seu malware.
O ransomware que compromete os ambientes hospedados na nuvem geralmente é planejado minuciosamente, e agentes de ameaças qualificados tentarão comprometer um ambiente antes de criptografar os arquivos comprometidos.
O ransomware que compromete ambientes hospedados na nuvem geralmente é planejado minuciosamente, e agentes de ameaças qualificados tentarão comprometer completamente um ambiente antes de criptografar os arquivos comprometidos. Em particular, os cibercriminosos agora parecem interessados em direcionar imagens de máquinas virtuais usadas para cargas de trabalho. Esse interesse indica que os agentes de ameaças estão à procura de recursos preciosos hospedados em ambientes de nuvem para infligir o máximo de dano possível.
Certas plataformas podem fornecer cargas de trabalho do Linux em execução em ambientes locais e baseados em nuvem com defesas contra ataques de malware. Algumas dessas plataformas agora usam aprendizado de máquina e inteligência artificial para fornecer às organizações o contexto e a visibilidade necessários para identificar ataques de malware em suas cargas de trabalho. espera-se que o mercado de CAGR de aprendizado de máquina atinja quase 39% entre 2022 e 2029.
Criptojacking
Entre os ataques de malware direcionados ao Linux, o cryptojacking é um dos mais difundidos. Os cibercriminosos podem ganhar bastante dinheiro com o cryptojacking – se bem-sucedidos, eles podem gerar criptomoedas usando os recursos computacionais de seu malware.
Cryptojacking chamou a atenção do público em 2018 depois A nuvem pública da Tesla sofreu um ataque. Os hackers comprometeram o console Kubernetes da empresa devido à falta de proteção por senha e, a partir daí, obtiveram acesso a dados confidenciais.
As gangues que usam malware de cryptojacking geralmente visam as vítimas com a ajuda de listas de senhas padrão ou explorações que comprometem sistemas mal protegidos que foram configurados incorretamente involuntariamente. Depois que os agentes de ameaças instalam e executam com sucesso seu malware, eles podem sentar e assistir enquanto a criptomoeda é extraída para eles.
Infelizmente para os proprietários de dispositivos, o malware de cryptojacking geralmente passa despercebido, pois é projetado para minerar criptomoedas em segundo plano – eles podem apenas perceber que seu dispositivo está subitamente funcionando mais lentamente. As organizações podem ficar atentas a sinais como aumento repentino no uso da CPU e superaquecimento do dispositivo. O software antivírus pode impedir que métodos de criptografia mal-intencionados executem seu malware e facilitará a detecção de ataques com antecedência.
Especialistas em segurança que ficam de olho em organizações de estado-nação têm relatado que grupos de estado-nação estão dobrando seus ataques contra ambientes Linux. A guerra Rússia-Ucrânia, em particular, parece estar contribuindo para um aumento no malware direcionado ao Linux.
No passado, relatos da mídia apontaram a Rússia como culpada por ataques cibernéticos após a invasão da Crimeia, bem como ataques mais recentes na Ucrânia. Esses ataques foram supostamente realizados com a intenção de abalar as comunicações, e gangues de cibercriminosos patrocinadas pelo Estado russo continuam alimentando a ansiedade dos governos ocidentais.
As empresas que têm monitorado diligentemente a guerra Rússia-Ucrânia relataram instâncias de worms Solaris e Linux usando o Secure Shell Protocol, bem como credenciais de acesso comprometidas para se espalharem rapidamente. Esses ataques são executados com a intenção óbvia de destruir informações confidenciais mantidas em sistemas de arquivos e bancos de dados.
Ataques sem arquivo
Pesquisadores de segurança apontaram grupos de cibercriminosos usando a ferramenta Ezuri de código aberto, escrita em Golang, para criptografar códigos maliciosos. Depois de descriptografado, o código malicioso não deixa rastros no disco, pois é executado a partir da memória, tornando quase impossível a detecção por um software antivírus. O grupo associado principalmente a essa técnica de ataque sem arquivo é chamado TeamTNT, que ataca sistemas baseados em Docker configurados incorretamente para instalar mineradores de criptografia e bots DDoS.
Como evitar ser alvo de malware
Para se proteger contra malware direcionado ao Linux, desenvolvedores e administradores de sistema fariam bem em se lembrar de evitar uma certa “economia de atenção”: eles devem evitar correr contra o tempo sempre que possível e cultivar um ambiente que adverte contra a confiança cega em coisas como comunidade código fonte.
Os cibercriminosos têm todo o tempo do mundo para aproveitar essa “economia de atenção” e são pacientes o suficiente para esperar algo como um desenvolvedor deixar por engano uma implantação de contêiner vulnerável ao público que pode ser usada como ponta de lança para outros ataques.
Também é importante que as organizações prestem atenção especial às configurações de grupo de segurança e firewalls que seus servidores Linux usam, para que não convidem acesso externo a aplicativos implantados em seus servidores. O malware direcionado ao Linux funciona melhor em um ambiente de servidores e dispositivos de consumo, sistemas operacionais especializados e ambientes virtuais; tome muito cuidado para investir em medidas de segurança cuidadosamente planejadas que protejam essas coisas.
.
