Comunicati stampaCategoriaTempo di lettura: 5 minuti

I criminali informatici prendono di mira i sistemi basati su Linux con attacchi Ransomware e di Cryptojacking

I criminali informatici prendono di mira i sistemi basati su Linux con attacchi Ransomware e di Cryptojacking

Il rapporto di VMware rileva che più della metà degli utenti di Cobalt Strike utilizza lo strumento
in modo illecito

Milano, 22 febbraio 2022 – Linux rappresenta una parte fondamentale dell'infrastruttura digitale e sta rapidamente diventando il biglietto d'ingresso di un attaccante in un ambiente multi-cloud. Le attuali contromisure contro il malware sono per lo più concentrate sull'affrontare le minacce basate su Windows, rendendo vulnerabili molte implementazioni di cloud pubbliche e private agli attacchi che prendono di mira i workload basati su Linux.

VMware, Inc. (NYSE: VMW) ha rilasciato un rapporto sulle minacce dal titolo "Exposing Malware in Linux-Based Multi-Cloud Environments."[1] Fra i risultati chiave che descrivono come i criminali informatici stanno usando il malware per colpire i sistemi operativi basati su Linux emerge che:

  • Il ransomware si sta evolvendo per colpire le immagini host utilizzate per far girare i carichi di lavoro negli ambienti virtualizzati
  • L'89 per cento degli attacchi di cryptojacking utilizza librerie legate a XMRig
  • Più della metà degli utenti di Cobalt Strike potrebbero essere criminali informatici, o almeno utilizzare Cobalt Strike in modo illecito

"I criminali informatici stanno espandendo drasticamente la propria portata aggiungendo agli attacchi il malware che prende di mira i sistemi operativi basati su Linux, al fine di massimizzare l’impatto con il minor sforzo possibile", ha commentato Giovanni Vigna, senior director of threat intelligence di VMware. "Piuttosto che infettare un endpoint e poi navigare verso un obiettivo di maggior valore, i criminali informatici hanno scoperto che la compromissione di un singolo server può fornire l'enorme guadagno e l'accesso che stanno cercando. Gli aggressori vedono sia i cloud pubblici che quelli privati come obiettivi di alto valore a causa dell'accesso che forniscono ai servizi di infrastrutture critiche e ai dati riservati. Sfortunatamente, le attuali contromisure del malware sono per lo più focalizzate sull'affrontare le minacce basate su Windows, lasciando molte implementazioni di cloud pubbliche e private vulnerabili agli attacchi ai sistemi operativi basati su Linux".

Poiché il malware che prende di mira i sistemi operativi basati su Linux aumenta sia in volume che in complessità in un panorama di minacce in rapida evoluzione, le organizzazioni devono dare priorità al rilevamento delle minacce. In questo rapporto, la VMware Threat Analysis Unit (TAU) ha analizzato le minacce ai sistemi operativi basati su Linux in ambienti multi-cloud: ransomware, cryptominer e strumenti di accesso remoto.

Il ransomware prende di mira il cloud per arrecare il massimo danno

Essendo una delle principali cause di violazione per le organizzazioni, un attacco ransomware di successo su un ambiente cloud può avere conseguenze devastanti[2]. Gli attacchi ransomware contro le implementazioni cloud sono mirati e sono spesso combinati con l'esfiltrazione dei dati, implementando uno schema di doppia estorsione che migliora le probabilità di successo. Un nuovo sviluppo mostra che il ransomware basato su Linux si sta evolvendo per colpire le immagini host utilizzate per far girare i carichi di lavoro negli ambienti virtualizzati. Gli attaccanti sono ora alla ricerca delle risorse più preziose negli ambienti cloud per infliggere la massima quantità di danni al bersaglio. Gli esempi includono la famiglia di ransomware Defray777, che ha criptato le immagini host sui server ESXi, e la famiglia di ransomware DarkSide, che ha paralizzato le reti di Colonial Pipeline e causato una carenza di benzina a livello nazionale negli Stati Uniti.

Gli attacchi di cryptojacking usano XMRig per estrarre Monero

I criminali informatici alla ricerca di una ricompensa monetaria istantanea spesso prendono di mira le criptovalute utilizzando uno dei due approcci: o includono la funzionalità di furto del portafoglio nel malware o monetizzano i cicli di CPU rubati per estrarre con successo le criptovalute in un attacco chiamato cryptojacking. La maggior parte degli attacchi di cryptojacking si concentrano sul mining della valuta Monero (o XMR) e la VMware TAU ha scoperto che l'89 per cento dei cryptominer ha usato librerie legate a XMRig. Per questo motivo, quando vengono identificate librerie e moduli specifici per XMRig, è probabile che sia la prova di un comportamento malevolo di cryptomining. La VMware TAU ha anche osservato che evadere la difesa è la tecnica più comunemente usata dai cryptominer basati su Linux. Purtroppo, poiché gli attacchi di cryptojacking non interrompono completamente le operations degli ambienti cloud come il ransomware, sono molto più difficili da rilevare.

Cobalt Strike è lo strumento di accesso remoto preferito dagli attaccanti

Al fine di ottenere il controllo e persistere all'interno di un ambiente, gli aggressori cercano di installare un impianto su un sistema compromesso che dia loro il controllo parziale della macchina. Malware, webshell e strumenti di accesso remoto (RAT) possono essere tutti utilizzati dagli aggressori in un sistema compromesso per consentire l'accesso remoto. Uno dei principali impianti utilizzati dagli aggressori è Cobalt Strike, un test di penetrazione commerciale e uno strumento Red Teaming, e la sua recente variante di Vermilion Strike basata su Linux. Dal momento che Cobalt Strike è una minaccia così onnipresente su Windows, l'espansione al sistema operativo Linux dimostra il desiderio degli attori delle minacce di utilizzare strumenti facilmente disponibili che prendono di mira quante più piattaforme possibili.

La VMware TAU ha scoperto più di 14.000 Cobalt Strike Team Servers attivi su Internet tra febbraio 2020 e novembre 2021. La percentuale totale di ID clienti di Cobalt Strike craccati e trapelati è del 56%, il che significa che più della metà degli utenti di Cobalt Strike potrebbero essere criminali informatici, o almeno utilizzare Cobalt Strike in modo illecito. Il fatto che i RAT come Cobalt Strike e Vermilion Strike siano diventati uno strumento di base per i criminali informatici rappresenta una minaccia significativa per le imprese.

"Da quando abbiamo condotto la nostra analisi, sono state osservate ancora più famiglie di ransomware che gravitano sul malware basato su Linux, con il potenziale per ulteriori attacchi che potrebbero sfruttare le vulnerabilità di Log4j", ha dichiarato Brian Baskin, manager of threat research di VMware. "I risultati di questo rapporto possono essere utilizzati per comprendere meglio la natura del malware basato su Linux e mitigare la crescente minaccia che ransomware, cryptomining e RAT hanno sugli ambienti multi-cloud. Poiché gli attacchi che prendono di mira il cloud continuano a evolversi, le organizzazioni dovrebbero adottare un approccio Zero Trust per incorporare la sicurezza in tutta la loro infrastruttura e affrontare sistematicamente i vettori di minacce che costituiscono la loro superficie di attacco".

Puoi scaricare il Report qui.

Metodologia

La VMware Threat Analysis Unit (TAU) aiuta a proteggere i clienti dai cyberattacchi attraverso l'innovazione e la ricerca di livello mondiale. La TAU è composta da analisti di malware, reverse engineer, cacciatori di minacce, data scientist e analisti di intelligence di VMware. Per capire come rilevare e prevenire gli attacchi che bypassano le strategie di prevenzione tradizionali, incentrate sui file, la TAU si concentra su tecniche che una volta erano il dominio degli hacker avanzati e che ora si stanno spostando a valle nel mercato degli attacchi commodity. Il team sfrutta i big data in tempo reale, l'elaborazione dello streaming degli eventi, l'analisi statica, dinamica e comportamentale e l'apprendimento automatico.

La VMware TAU ha applicato una composizione di tecniche statiche e dinamiche per caratterizzare varie famiglie di malware osservate sui sistemi basati su Linux sulla base di un dataset curato di metadati associati ai binari di Linux. Tutti i campioni in questo set di dati sono pubblici e quindi possono essere facilmente accessibili utilizzando VirusTotal o vari siti web delle principali distribuzioni Linux. La TAU ha raccolto più di 11.000 campioni benigni da diverse distribuzioni Linux, in particolare, Ubuntu, Debian, Mint, Fedora, CentOS e Kali. Ha poi raccolto un set di dati di campioni per due classi di minacce,

cioè ransomware e cryptominer. Infine, ha raccolto un set di dati di binari ELF maligni da VirusTotal che sono stati utilizzati come set di dati maligni di prova. La TAU ha iniziato a raccogliere il dataset nel giugno 2021 e ha concluso nel novembre 2021.

VMware

VMware è il provider leader di servizi multi-cloud per tutte le app, che abilita l’innovazione digitale con un controllo di classe enterprise. Come base affidabile per accelerare l'innovazione, il software VMware offre alle aziende la flessibilità e la scelta di cui hanno bisogno per costruire il futuro. Con sede a Palo Alto, California, VMware è impegnata a costruire un futuro migliore attraverso la sua Agenda 2030. Per ulteriori informazioni, visita il sito www.vmware.com/it/company

VMware Italia

Elena Barbero.

Tel.: +39 02 30412700

Email: ebarbero@vmware.com

Ufficio stampa VMware
Imageware
Alessandra Merini, Elisabetta Benini, Linda Brambilla
Tel.: +39 02 700251
Email: vmware@imageware.it

[1] Exposing Malware in Linux-Based Multi-Cloud Environments, VMware, February 2022

[2] Global Security Insights Report, VMware, June 2021