Cryptojacking ciblant les systèmes basés sur Linux

La plupart des contre-mesures contre les logiciels malveillants se concentrant sur les risques liés à Windows, les déploiements publics et personnels sont désormais vulnérables aux cyberattaques ciblant les travaux basés sur Linux.

Selon le rapport sur les risques de VMware, Exposer les logiciels malveillants dans les environnements multi-cloud basés sur Linux, les cybercriminels utilisent désormais des logiciels malveillants pour cibler les systèmes d’exploitation basés sur Linux. Ceux-ci incluent :

• Les rançongiciels évoluent pour cibler les images hôtes Linux utilisées pour faire tourner le travail dans des environnements virtualisés ;
• 89 % des attaques de cryptojacking utilisent des bibliothèques liées à XMRig ; et
• La majorité des utilisateurs de Cobalt Strike pourraient être des cybercriminels, ou au moins utiliser Cobalt Strike illégalement.

Pour Giovanni Vigna, directeur principal des renseignements sur les dangers chez VMware, les cybercriminels élargissent considérablement leur portée et incluent des logiciels malveillants qui ciblent les systèmes d’exploitation basés sur Linux dans leur boîte à outils d’attaque afin d’optimiser leur impact avec le moins d’effort possible.

« Plutôt que d’infecter un point de terminaison puis de naviguer vers un cible de plus grande valeur, les cybercriminels ont découvert que la mise en péril d’un seul serveur peut fournir l’énorme gain et obtenir l’accès à ce qu’ils recherchent. Les attaquants considèrent les clouds publics et personnels comme des cibles de grande valeur en raison de l’accès qu’ils fournissent à d’importants services d’infrastructure et données privées. Les contre-mesures actuelles contre les logiciels malveillants sont principalement axées sur la gestion des risques basés sur Windows, laissant de nombreux déploiements de cloud public et privé vulnérables aux attaques sur les systèmes d’exploitation basés sur Linux « , a commenté Vigna.

Comme les logiciels malveillants ciblant les systèmes d’exploitation basés sur Linux augmentent à la fois en volume et en complexité au milieu d’un paysage de danger en évolution rapide, les organisations doivent se préoccuper davantage de la détection des dangers. Le système d’analyse des risques (TAU) de VMware a évalué les dangers pour les systèmes d’exploitation basés sur Linux dans des environnements multi-cloud, trouvant les ransomwares, les cryptomineurs et l’accès à distance aux outils comme le principal problème.

Ransomware, Cryptojacking et accès à distance aux outils

TAU a signalé que les ransomwares ciblant le cloud sont fréquemment associés à l’exfiltration d’informations, exécutant un plan de double extorsion qui améliore les chances de succès. Un nouveau développement révèle que les rançongiciels se développent pour cibler les images hôtes Linux utilisées pour faire tourner les charges de travail dans les environnements virtualisés.

Les opposants essaient maintenant de trouver les propriétés les plus précieuses dans les environnements cloud pour causer la quantité optimale de dommages au cibler. Les exemples incluent la famille de rançongiciels Defray777, qui a sécurisé les images hôtes sur les serveurs ESXi, et la famille de rançongiciels DarkSide, qui a mutilé les réseaux de Colonial Pipeline et déclenché une pénurie de gaz dans tout le pays aux États-Unis.

. En ce qui concerne le cryptojacking, de nombreuses attaques se concentrent sur l’extraction de la monnaie Monero (ou XMR), et VMware TAU a constaté que 89 % des cryptomineurs utilisaient des bibliothèques liées à XMRig. Pour ce facteur, lorsque des bibliothèques et des modules spécifiques à XMRig dans les binaires Linux sont identifiés, c’est très probablement la preuve d’un comportement de cryptominage destructeur. VMware TAU a également observé que l’évasion de la défense est la méthode la plus couramment utilisée par les cryptomineurs. Étant donné que les attaques de cryptojacking ne perturbent pas entièrement les opérations des environnements cloud comme les ransomwares, elles sont beaucoup plus difficiles à identifier.

Lorsqu’il s’agit de prendre le contrôle et de continuer dans un environnement, les logiciels malveillants, les webshells, et les outils d’accès à distance (RAT) peuvent tous être des implants utilisés par des agresseurs dans un système compromis pour permettre un accès à distance. L’un des principaux implants utilisés par les ennemis est Cobalt Strike, un outil de test de pénétration industrielle et d’équipe rouge, et sa récente variante de Vermilion Strike basé sur Linux.

Puisque Cobalt Strike est une menace si courante sur Windows, l’extension au système d’exploitation basé sur Linux montre le désir des acteurs de la menace d’utiliser des outils facilement disponibles qui ciblent autant de plates-formes que possible.

Plus de 14 000 serveurs Cobalt Strike Group actifs sur le Web entre février 2020 et novembre 2021 ont été découverts par TAU. La part globale des identifiants de consommateurs Cobalt Strike divisés et dégoulinés est de 56%, ce qui signifie que plus de la moitié des utilisateurs de Cobalt Strike pourraient être des cyber-escrocs, ou du moins utiliser Cobalt Strike de manière illicite. Le fait que les RAT comme Cobalt Strike et Vermilion Strike soient devenus un outil de base pour les cybercriminels représente un danger considérable pour les entreprises.

« Étant donné que nous avons mené notre analyse, on a observé encore plus de familles de ransomwares gravitant autour des malwares ciblant Linux , avec la capacité d’attaques supplémentaires qui pourraient exploiter les vulnérabilités de Log4j », a déclaré Brian Baskin, superviseur de l’étude de recherche sur les menaces chez VMware.

Baskin a également souligné qu’à mesure que les attaques ciblant le cloud continuent de se développer Grâce à des méthodes telles que le cryptojacking, les organisations doivent adopter une approche Zero Trust pour intégrer la sécurité dans l’ensemble de leur infrastructure et s’occuper systématiquement des vecteurs de danger qui composent leur surface d’attaque.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur