Linux ha problemi di sicurezza come qualsiasi altro sistema operativo, ma tendono ad essere risolti rapidamente e completamente. Sfortunatamente, se non si installa Linux correttamente sui propri server o cloud, anche se non si è vulnerabili come se si stesse usando Windows XP, si è comunque in pericolo. VMware Threat Analysis Unit (TAU) ha esplorato queste minacce in dettaglio nel suo nuovo rapporto, Exposing Malware in Linux-based Multi-Cloud Environments.
Linux è il principale sistema operativo cloud ed alimenta il 78% dei siti web più popolari. Gli hacker non sono stupidi. Sanno che possono fare più soldi prendendo di mira i clouds all’ingrosso, piuttosto che andando dietro ai PC Windows dei singoli utenti, ed è per questo che stanno sempre più prendendo di mira i sistemi vulnerabili basati su Linux.
I truffatori possono fare soldi veri se riescono a crackare un cloud. In genere questo viene fatto non da alcuni strumenti di cracking alla Mission Impossible, ma sfruttando l’autenticazione debole, le vulnerabilità e le cattive configurazioni nelle infrastrutture basate su container per infiltrarsi nell’ambiente con strumenti di accesso remoto (RAT).
Una volta che trovano un punto d’appoggio nel cloud di destinazione, di solito cercano di eseguire ransomware o distribuire componenti di cryptomining con il fine di fare soldi.
VMware ha scoperto che, poiché non ci si è concentrati sul rilevamento di queste minacce, i nostri attuali strumenti di rilevamento e prevenzione dei malware per Linux non sono all’altezza del compito, anzi, il ransomware che prende di mira i sistemi basati su Linux sta diventando più sofisticato.
Per esempio, il ransomware che prende di mira Linux si è recentemente evoluto per colpire le immagini degli host e richiede un’analisi dinamica e il monitoraggio dell’host.
Non aiuta nemmeno il fatto che ci sono non meno di nove grandi famiglie di ransomware che prendono di mira i sistemi Linux. Queste includono una versione per Linux di REvil; DarkSide; BlackMatter; e Defray777. Molti di loro sono disponibili come Ransomware as a Service per persone senza molte conoscenze tecniche, ma che vogliono fare un po’ di soldi veloci.
La criptovaluta scelta dai cryptojackers è la criptovaluta Monero (XMR). L’ottantanove per cento dei criptojacking di Linux ha usato librerie legate a XMRig. I cybercriminali usano principalmente due approcci:
- Malware con funzionalità di furto di portafogli, a volte in posa come app basate su criptovalute.
- O la sempre popolare monetizzazione dei cicli di CPU rubati per estrarre con successo le criptovalute.
Ci sono attualmente sette famiglie di ransomware significative che implementano sistemi malevoli contro Linux. Queste includono XMRig, Sysrv e Mexalz.
Per mettere in atto il malware i RAT stanno diventando sempre più popolari. Il team di ricerca di VMware ha scoperto più di 14.000 server attivi del Cobalt Strike team su internet dalla fine di febbraio 2020. Red Team è stato pensato per aiutare a proteggere i sistemi, ma con il 56% dei server Cobalt Strike che sembrano essere istanze Cobalt Strike craccate o trapelate utilizzate da truffatori in cerca di istanze Linux vulnerabili.
