Системы Linux подвергаются активным атакам программ-вымогателей

VMware

Компания VMware провела исследование угроз вредоносного ПО на базе Linux Exposing Malware in Linux-Based Multi-Cloud Environments.

Linux, как наиболее распространенная облачная операционная система, является основным компонентом цифровой инфраструктуры и поэтому часто становится мишенью злоумышленников для проникновения в мультиоблачную среду. Большинство решений для защиты от вредоносного ПО в основном ориентированы на защиту устройств на базе Windows. Это делает многие публичные и частные облака уязвимыми для атак, направленных на рабочие нагрузки, использующие Linux.

Киберпреступники расширяют масштабы своей деятельности и добавляют в свой арсенал вредоносные программы, цель которых — операционные системы на базе Linux. Взлом одного сервера способен принести злоумышленникам большую прибыль и обеспечить доступ к главной цели без необходимости атаковать конечное устройство. Злоумышленники атакуют как публичные, так и частные облачные среды. К сожалению, существующие средства противодействия вредоносному ПО в основном направлены на устранение угроз для серверов под управлением Windows, поэтому многие облака становятся уязвимыми для атак, основная цель которых — ОС на базе Linux«.

К числу основных сценариев использования вредоносных программ злоумышленников для атак на ОС Linux исследователи отнесли:

· Программы-вымогатели все чаще нацелены на серверы, используемые для развертывания рабочих нагрузок в виртуализированных средах;

· В 89% атак методом криптоджекинга используются библиотеки, связанные с криптомайнером XMRig;

· Более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно.

Программы-вымогатели нацелены на облака. Успешно проведенные атаки программ-вымогателей на облачные среды могут иметь катастрофические последствия для систем безопасности. Атаки программ-вымогателей на сервисы, развернутые в облачных средах, часто сочетаются с утечками данных — так реализуется схема двойного вымогательства. При этом программы- вымогатели эволюционировали, чтобы атаковать/задействовать хосты, используемые для развертывания рабочих нагрузок в виртуализированных средах. Злоумышленники теперь ищут наиболее ценные активы в облачных средах, чтобы нанести максимальный ущерб. Примерами этому могут служить программы-вымогатели семейства Defray777, которые шифровали данные на серверах ESXi, и программы-вымогатели семейства DarkSide, нанесшие ущерб сетям компании Colonial Pipeline, что вызвало нехватку бензина на всей территории США.

Охота за криптовалютой. Киберпреступники, нацеленные на быстрое получение прибыли, часто охотятся за криптовалютой, используя для атаки один из двух подходов: 1) внедряют вредоносное ПО для кражи из онлайн-кошельков; 2) монетизируют похищенные циклы центрального процессора для майнинга криптовалют (так называемый «криптоджекинг»). Большинство таких атак сосредоточено на майнинге валюты Monero (или XMR) — в 89% атак криптоджекинга используются библиотеки, связанные с XMRig. Именно поэтому, когда в когда в бинарных файлах Linux обнаруживаются специфичные для XMRig библиотеки и модули, это свидетельствует о вредоносной активности с целью криптомайнинга.

Cobalt Strike — основное средство злоумышленников для получения удаленного доступа. Чтобы установить контроль и удержаться в среде, злоумышленники стремятся установить во взломанную систему программную закладку, которая даст им частичный контроль над устройством. Вредоносное ПО, веб-сайты и средства удаленного доступа могут быть внедрены в систему. Одна из основных программных закладок — это Cobalt Strike, средство коммерческого тестирования на проникновение злоумышленника, и инструменты Red Team и Vermilion Strike на базе Linux.

За период с февраля 2020 по ноябрь 2021 года подразделение анализа угроз VMware обнаружило в сети более 14 000 активных серверов Cobalt Strike Team. Общий процент взломанных и выложенных в сеть идентификаторов клиентов Cobalt Strike составляет 56%, то есть более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно. Тот факт, что такие средства удаленного доступа, как Cobalt Strike и Vermilion Strike, стали массово использоваться киберпреступниками, представляет серьезную угрозу для компаний.

Методология

В ходе исследования департамент анализа угроз VMware использовал статические и динамические методы для характеристики различных семейств вредоносных программ, обнаруженных в системах на базе Linux, на основе тщательно отобранного набора данных, связанных с бинарными файлами Linux. Все они в открытом доступе — его можно получить с помощью VirusTotal или различных веб-сайтов основных дистрибутивов Linux. Специалисты VMware собрали более 11 000 доброкачественных образцов из нескольких дистрибутивов Linux, в частности, Ubuntu, Debian, Mint, Fedora, CentOS и Kali. Затем подразделение TAU собрало набор образцов для двух классов угроз — программ-вымогателей и криптомайнеров. Наконец, были собраны вредоносные бинарные ELF-файлы из VirusTotal, которые использовались в качестве тестового пакета вредоносных данных. Все данные были собраны за период июнь-ноябрь 2021 года.