Компания VMware представила результаты исследования угроз вредоносного ПО Linux Exposing Malware in Linux-Based Multi-Cloud Environments, проведенного VMware Threat Analysis Unit. ОС Linux как наиболее распространенная облачная система, подчеркивают в компании, является основным компонентом цифровой инфраструктуры и поэтому часто становится мишенью злоумышленников для проникновения в мультиоблачную среду. Большинство решений для защиты от вредоносного ПО в основном ориентированы на защиту устройств на базе Windows. Это делает многие публичные и частные облака уязвимыми для атак, направленных на рабочие нагрузки, использующие Linux.

Основные выводы исследования, включающие сценарии использования вредоносных программ злоумышленников для атак на ОС Linux:

  • программы-вымогатели все чаще нацелены на серверы, используемые для развертывания рабочих нагрузок в виртуализированных средах;
  • в 89% атак методом криптоджекинга используются библиотеки, связанные с криптомайнером XMRig;
  • более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно.

Успешные атаки программ-вымогателей на облачные среды, отмечают эксперты, могут иметь катастрофические последствия для систем безопасности. Атаки на сервисы, развернутые в облачных средах, часто сочетаются с утечками данных – так реализуется схема двойного вымогательства. Программы- вымогатели теперь могут атаковать/задействовать хосты, используемые для развертывания рабочих нагрузок в виртуализированных средах. Злоумышленники ищут наиболее ценные активы в облачных средах, чтобы нанести максимальный ущерб. Примеры – программы-вымогатели семейства Defray777, которые шифровали данные на серверах ESXi, и семейства DarkSide, нанесшие ущерб сетям компании Colonial Pipeline, что вызвало нехватку бензина на восточном побережье США.

Киберпреступники также часто охотятся за криптовалютой, используя для атаки один из двух подходов: 1)внедряют вредоносное ПО для кражи из онлайн-кошельков; 2)монетизируют похищенные циклы центрального процессора для майнинга криптовалют (так называемый криптоджекинг). Большинство таких атак сосредоточено на майнинге валюты Monero (или XMR) – в 89% атак криптоджекинга используются библиотеки, связанные с XMRig. Именно поэтому, когда в когда в бинарных файлах Linux обнаруживаются специфичные для XMRig библиотеки и модули, это свидетельствует о вредоносной активности с целью криптомайнинга.

Чтобы установить контроль и удержаться в среде, злоумышленники стремятся установить во взломанную систему программную закладку, которая даст им частичный контроль над устройством. Вредоносное ПО, веб-сайты и средства удаленного доступа могут быть внедрены в систему. Одна из основных программных закладок – Cobalt Strike, средство коммерческого тестирования на проникновение злоумышленника, и инструменты Red Team и Vermilion Strike на базе Linux.

За период с февраля 2020-го по ноябрь 2021 г. подразделение анализа угроз VMware обнаружило в сети более 14 тыс. активных серверов Cobalt Strike Team. Общий процент взломанных и выложенных в сеть идентификаторов клиентов Cobalt Strike составляет 56%, т. е. более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно. Тот факт, что такие средства удаленного доступа, как Cobalt Strike и Vermilion Strike, стали массово использоваться киберпреступниками, представляет серьезную угрозу для компаний.

Как отмечают в VMware, исследование показало, что все больше семейств программ-вымогателей переходят в категорию вредоносного ПО на базе Linux, существует вероятность атак, которые могут использовать уязвимости Log4j. Выводы отчета могут быть использованы для более глубокого понимания природы вредоносных программ на базе Linux и сдерживания растущей угрозы, которую сейчас представляют программы-вымогатели, криптомайнеры и программы удаленного доступа для мультиоблачных сред. Поскольку атаки, нацеленные на облако, продолжают развиваться, организациям следует придерживаться концепции «нулевого доверия» Zero Trust для обеспечения безопасности всей инфраструктуры.