Linux es el sistema operativo más común en el cloud, lo que le convierte cada vez más en puerta de acceso para quienes atacan los entornos multicloud. Los sistemas de defensa actuales contra el malware se centran en las amenazas a Windows, lo que deja a muchos despliegues de nubes públicas y privadas vulnerables frente a los ataques que tienen como objetivo las cargas de trabajo en Linux.
VMware ha publicado un informe sobre amenazas llamado ‘Malware en entornos multicloud Linux’. Entre las principales conclusiones que detallan la forma en la que los ciberdelincuentes utilizan el malware para atacar los sistemas operativos basados en Linux destacan:
- El ransomware está evolucionando y pone su foco en las imágenes de host que se utilizan para activar las cargas de trabajo en entornos virtualizados.
- El 89% de los ataques de cryptojacking utilizan librerías relacionadas con XMRig.
- Más de la mitad de los usuarios de Cobalt Strike podrían ser ciberdelincuentes, o, al menos, utilizar Cobalt Strike de forma ilícita.
“Los ciberdelincuentes están ampliando drásticamente su alcance y añadiendo malware dirigido a sistemas operativos basados en Linux a su kit de herramientas de ataque para maximizar su impacto con el menor esfuerzo posible“, afirma Giovanni Vigna, director sénior de inteligencia de amenazas de VMware. “En lugar de infectar un punto final y luego navegar a un objetivo de mayor valor, los ciberdelincuentes han descubierto que comprometer un solo servidor puede ofrecerles la recompensa masiva y el acceso que están buscando. Los agresores consideran las nubes públicas y privadas objetivos de alto valor debido al acceso que proporcionan a los servicios de infraestructura crítica y a los datos confidenciales. Lamentablemente, los sistemas de defensa actuales contra el malware se centran sobre todo en las amenazas a Windows, lo que deja a muchos despliegues de clouds públicas y privadas vulnerables frente a los ataques contra sistemas operativos de Linux“.
Los sistemas de defensa actuales contra el malware se centran sobre todo en las amenazas a Windows, lo que deja a muchos despliegues de clouds públicas y privadas vulnerables frente a los ataques contra sistemas operativos de Linux
A medida que el malware dirigido a sistemas operativos Linux aumenta, tanto en volumen como en complejidad en medio de un contexto de amenazas que cambia constantemente, las empresas tienen que poder priorizar la detección de estas. En este informe, la Unidad de Análisis de Amenazas de VMware (VMware TAU, por sus siglas en inglés) analiza las amenazas a los sistemas operativos Linux en entornos multicloud: ransomware, criptominería y herramientas de acceso remoto.
Índice de temas
El ransomware, objetivo la nube
Según VMware, siendo una de las principales filtraciones en las empresas, los ataques certeros de ransomware en un entorno cloud pueden tener consecuencias devastadoras. Los ataques de ransomware contra nubes pretenden, y a menudo se combinan con, la filtración de datos implementando un esquema de doble extorsión que mejora las probabilidades de completar dicho ataque. Recientemente se ha percibido que el ransomware basado en Linux está mutando para dirigirse a las imágenes de host utilizadas para activar las cargas de trabajo en entornos virtualizados. Los delincuentes buscan ahora los activos más valiosos en entornos clooud y así provocar el máximo daño posible al objetivo. Entre los ejemplos de estos nuevos ataques está la familia de ransomware Defray777, que cifró imágenes de host en servidores ESXi; y la familia de ransomware DarkSide, que paralizó las redes de Colonial Pipeline y provocó una escasez de gasolina en todo Estados Unidos.
Criptojacking con XMRig para minar Monero
Los ciberdelincuentes que buscan una recompensa monetaria instantánea suelen atacar las criptomonedas utilizando uno de estos enfoques: incluir la funcionalidad de robo de carteras en el malware, o monetizar los ciclos de CPU robados para minar criptodivisas con éxito en un ataque llamado cryptojacking. La mayoría de los ataques de criptojacking se centran en el minado de la moneda Monero (o XMR) y la VMware TAU descubrió que el 89% de los criptomineros utilizaban bibliotecas relacionadas con XMRig. Por eso, cuando se identifican bibliotecas y módulos específicos de XMRig en los binarios de Linux es probable que se trate de una prueba de comportamiento malicioso de criptominería. La VMware TAU también observó que la evasión de la defensa es la técnica más utilizada por los criptomineros basados en Linux. Desgraciadamente, y como los ataques de criptominería no interrumpen completamente las operaciones de los entornos cloud como el ransomware, son mucho más difíciles de detectar.
Cobalt Strike, herramienta de acceso remoto
Para obtener el control y persistir en un entorno, los agresores buscan instalar un implante en un sistema comprometido que les dé el control parcial de la máquina. El malware, las webshells y las herramientas de acceso remoto (RAT, por sus siglas en inglés) pueden ser implantes utilizados por los agresores en un sistema comprometido que les permita el acceso remoto. Uno de los principales implantes utilizados por los agresores es Cobalt Strike, una herramienta comercial de pruebas de penetración, y su reciente variante Vermilion Strike basada en Linux. Dado que Cobalt Strike es una amenaza tan omnipresente en Windows, la expansión al sistema operativo Linux demuestra que los agresores quieren utilizar herramientas fácilmente disponibles que se dirijan a tantas plataformas como sea posible.
Con los hallazgos de este informe se comprende la naturaleza del malware basado en Linux y la creciente amenaza que suponen para los entornos multicloud el ransomware, la minería de criptomonedas y las RAT
La VMware TAU descubrió más de 14.000 servidores activos de Cobalt Strike Team en Internet entre febrero de 2020 y noviembre de 2021. El porcentaje total de ID de clientes de Cobalt Strike crackeados y filtrados es del 56%, lo que significa que más de la mitad de los usuarios de Cobalt Strike pueden ser ciberdelincuentes, o al menos utilizar Cobalt Strike de forma ilícita. El hecho de que RATs como Cobalt Strike y Vermilion Strike se hayan convertido en una herramienta básica para los ciberdelincuentes supone una grave amenaza para las empresas.
“Desde que realizamos nuestro análisis, se han observado aún más familias de ransomware que gravitan hacia malware basado en Linux, con el potencial de ataques adicionales que podrían aprovechar las vulnerabilidades de Log4j“, afirma Brian Baskin, director de investigación de amenazas de VMware. “Los hallazgos de este informe pueden utilizarse para comprender mejor la naturaleza del malware basado en Linux y mitigar la creciente amenaza que suponen para los entornos multicloud el ransomware, la minería de criptomonedas y las RAT. A medida que evolucionan los ataques dirigidos al cloud, las organizaciones deben adoptar un enfoque Zero Trust para integrar la seguridad en toda su infraestructura y abordar sistemáticamente los vectores de amenaza que conforman su superficie de ataque“.