Linux holder måske ikke helt op til Windows, når det kommer til det rå antal angreb mod systemer, der kører operativsystemet, men trusselsaktørens interesse for Linux-baserede servere og teknologier er steget markant for nylig.
Det er sandsynligvis som svar på voksende virksomhedsbrug af Linux-infrastrukturer - især i skyen - til at hoste missionskritiske applikationer og data, ifølge en rapport fra Trend Micro i denne uge. Firmaet identificerede en stigning på 75 % i ransomware-angreb rettet mod Linux-systemer i første halvdel af 2022 sammenlignet med samme periode sidste år.
Rapporten sagde også, at forskere fra virksomheden opdagede 1,961 tilfælde af Linux-baserede ransomware-angrebsforsøg på sine kunder i de første seks måneder af 2022 mod 1,121 i 1. halvår 2021.
Stigende Linux, VMware ESXi Ransomware-angreb
Stigningen var i overensstemmelse med Trend Micros tidligere observationer om trusselsaktører udvide deres indsats for at målrette mod Linux-platforme og ESXi-servere, som mange organisationer bruger til at administrere virtuelle maskiner og containere.
Sikkerhedsleverandøren har beskrevet tendensen som værende ført i spidsen af operatørerne af REvil- og DarkSide-ransomware-familierne og vinder momentum med udgivelsen af en LockBit-ransomware-variant til Linux og VMware ESXi-systemer i oktober sidste år.
Tidligere i år observerede Trend Micro-forskere endnu en variant kaldet "Cheerscrypt", der dukkede op i naturen, som også var målrettet mod ESXi-servere. Og flere andre sikkerhedsleverandører har rapporteret at observere anden ransomware såsom Luna og Black Basta der kan kryptere data på Linux-systemer.
Ransomware er i øjeblikket den største, men ikke den eneste trussel rettet mod Linux-systemer. En rapport, som VMware udgav tidligere i år, bemærkede også en stigning i cryptojacking og brugen af fjernadgangstrojanske heste (RAT'er) designet til at angribe Linux-miljøer.
Virksomheden opdagede for eksempel, at trusselsaktører bruger malware såsom XMRig til at stjæle CPU-cyklusser på Linux-maskiner for at mine Monero og andre kryptovalutaer.
"Cryptomining malware på Linux oplevede en stigning i første halvår, sandsynligvis på grund af det faktum, at cloud-baseret krypto-mining har oplevet vækst af ondsindede aktører, der udøver denne trussel," bemærker Jon Clay, vicepræsident for trusselsefterretning hos Trend Micro.
VMwares rapport observerede også udvidet brug af værktøjer såsom Cobalt Strike til at målrette Linux-systemer og fremkomsten af en Linux-implementering af Cobalt Strike kaldet "Vermilion Strike."
Ligesom Trend Micro bemærkede VMware også en stigning i volumen og sofistikering af ransomware-angreb på Linux-infrastruktur - især værtsbilleder til arbejdsbelastninger i virtuelle miljøer. Virksomheden beskrev mange af ransomware-angrebene mod Linux-systemer som målrettede snarere end opportunistiske og kombinerede dataeksfiltrering og andre afpresningsordninger.
Et indgangspunkt til højværdi-virksomhedsmiljøer
Windows fortsætter med at være - langt - det mest målrettede operativsystem, simpelthen på grund af størrelsen på dets installerede base. Clay siger, at af de 63 milliarder trusler, som Trend Micro blokerede for kunder i første halvdel af 2022, var kun en meget lille procentdel Linux-baserede. Selvom der var millioner af Linux-trusselsdetektioner i 1H, 2022, var der milliarder af angreb på Windows-systemer i samme periode, siger han.
Men de voksende angreb på Linux-systemer er bekymrende på grund af, hvordan Linux begynder at blive brugt inden for kritiske områder af virksomhedens computerinfrastruktur. VMware påpegede i sin rapport, at Linux er det mest almindelige operativsystem på tværs af multicloud-miljøer, og 78% af de mest populære websteder er drevet af Linux. Vellykkede angreb på disse systemer kan således forårsage betydelig skade på organisationens drift.
"Malware, der retter sig mod Linux-baserede systemer, er hurtigt ved at blive en angribers vej ind i højværdi, multi-cloud-miljøer," advarede VMware.
Alligevel kan sikkerhedsbeskyttelsen halte, påpeger Clay.
"Trusselsaktører ser muligheder for at angribe dette operativsystem, da det er mere almindeligt at se det køre kritiske områder af en forretningsdrift," siger han. "Fordi den historisk ikke har set en masse trusler målrettet mod den, kan sikkerhedskontrol mangle eller ikke aktiveret korrekt for at beskytte den."
Beskyttelse af Linux-miljøer
Linux-administratorer skal først og fremmest følge standardsikkerhedspraksis for at sikre deres systemer, siger forskere, såsom at holde systemer lappet, minimere adgangen og udføre regelmæssige scanninger.
Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, siger, at det er vigtigt at bemærke de store forskelle i, hvordan Linux- og Windows-baserede systemer bruges, når man vurderer risiko og administrerer patching. Linux-systemer er normalt servere, der findes både på stedet og i cloud-implementeringer. Selvom der er mange Windows-servere, er der langt flere Windows-desktops, og det er ofte dem, der bliver målrettet, hvor serverne derefter bliver kompromitteret fra det første Windows-tohold.
Yderligere bør Linux-brugerbevidsthed omkring social engineering være et organisatorisk fokus.
"Linux-systemadministratorer er forhåbentlig mindre tilbøjelige til at falde for typiske phishing- og social engineering-angreb end den generelle befolkning," siger Parkin. "Men standardrådene gælder - brugere skal trænes til at være en del af løsningen snarere end en del af angrebsoverfladen."
Clay siger i mellemtiden, at det første, organisationer skal gøre, er at inventere alle de Linux-baserede systemer, de kører, og derefter se efter at implementere en Linux-baseret sikkerhedstilgang for at beskytte mod forskellige trusler.
"Ideelt set ville dette være en del af en cybersikkerhedsplatform, hvor de kunne implementere sikkerhedskontroller automatisk, efterhånden som Linux-systemer kommer online og modellerer deres kontroller til Windows-baserede systemer," siger han. "Sørg for, at dette inkluderer teknologier som maskinlæring, virtuel patching, applikationskontrol, integritetsovervågning og loginspektion."
