Wenn es um die Anzahl der Angriffe auf Systeme geht, auf denen das Betriebssystem läuft, kann Linux vielleicht nicht ganz mit Windows mithalten, aber das Interesse der Bedrohungsakteure an Linux-basierten Servern und Technologien ist in letzter Zeit erheblich gestiegen.
Laut einem Bericht von Trend Micro in dieser Woche ist dies wahrscheinlich eine Reaktion auf die zunehmende Nutzung von Linux-Infrastrukturen durch Unternehmen – insbesondere in der Cloud – zum Hosten geschäftskritischer Anwendungen und Daten. Das Unternehmen stellte im ersten Halbjahr 75 einen Anstieg von Ransomware-Angriffen auf Linux-Systeme um 2022 % im Vergleich zum Vorjahreszeitraum fest.
In dem Bericht heißt es auch, dass Forscher des Unternehmens entdeckt hätten 1,961 Fälle von Linux-basierten Ransomware-Angriffsversuchen auf seine Kunden in den ersten sechs Monaten des Jahres 2022 gegenüber 1,121 im ersten Halbjahr 1.
Anstieg der Ransomware-Angriffe auf Linux und VMware ESXi
Der Anstieg stand im Einklang mit früheren Beobachtungen von Trend Micro zu Bedrohungsakteuren Sie weiten ihre Bemühungen auf Linux-Plattformen aus und ESXi-Server, die viele Organisationen zur Verwaltung virtueller Maschinen und Container verwenden.
Der Sicherheitsanbieter hat beschrieben, dass der Trend von den Betreibern der Ransomware-Familien REvil und DarkSide angeführt wird und mit der Veröffentlichung einer LockBit-Ransomware-Variante für Linux- und VMware ESXi-Systeme im vergangenen Oktober an Fahrt gewinnt.
Anfang des Jahres beobachteten Forscher von Trend Micro, dass eine weitere Variante namens „Cheerscrypt“ in freier Wildbahn auftauchte, die ebenfalls auf ESXi-Server abzielte. Und mehrere andere Sicherheitsanbieter haben von der Beobachtung berichtet andere Ransomware wie Luna und Black Basta das Daten auf Linux-Systemen verschlüsseln kann.
Ransomware ist derzeit die größte, aber nicht die einzige Bedrohung, die auf Linux-Systeme abzielt. In einem Bericht, den VMware Anfang des Jahres veröffentlichte, kam es auch zu einer Zunahme von Kryptojacking und dem Einsatz von Remote-Access-Trojanern (RATs), die Linux-Umgebungen angreifen sollen.
Das Unternehmen stellte beispielsweise fest, dass Bedrohungsakteure Malware wie XMRig verwenden, um CPU-Zyklen auf Linux-Rechnern zu stehlen, um Monero und andere Kryptowährungen zu schürfen.
„Kryptomining-Malware unter Linux verzeichnete im ersten Halbjahr einen Anstieg, was wahrscheinlich auf die Tatsache zurückzuführen ist, dass das Cloud-basierte Krypto-Mining durch böswillige Akteure, die diese Bedrohung ausüben, zugenommen hat“, bemerkt Jon Clay, Vice President Threat Intelligence bei Trend Micro.
Der Bericht von VMware beobachtete auch den erweiterten Einsatz von Tools wie Cobalt Strike für Linux-Systeme und das Aufkommen einer Linux-Implementierung von Cobalt Strike mit dem Namen „Vermilion Strike“.
Wie Trend Micro hat auch VMware darauf hingewiesen eine Steigerung des Volumens und der Raffinesse von Ransomware-Angriffen auf die Linux-Infrastruktur – insbesondere Host-Images für Workloads in virtuellen Umgebungen. Das Unternehmen beschrieb viele der Ransomware-Angriffe auf Linux-Systeme als gezielt und nicht als opportunistisch und kombinierte Datenexfiltration mit anderen Erpressungsmethoden.
Ein Einstiegspunkt in hochwertige Unternehmensumgebungen
Windows ist bei weitem weiterhin das Betriebssystem, das am stärksten ins Visier genommen wird, einfach aufgrund der Größe seiner installierten Basis. Clay sagt, dass von den 63 Milliarden Bedrohungen, die Trend Micro im ersten Halbjahr 2022 für Kunden blockierte, nur ein sehr kleiner Prozentsatz auf Linux basierte. Obwohl es im ersten Halbjahr 1 Millionen von erkannten Linux-Bedrohungen gab, gab es im gleichen Zeitraum Milliarden von Angriffen auf Windows-Systeme, sagt er.
Die zunehmenden Angriffe auf Linux-Systeme sind jedoch besorgniserregend, da Linux zunehmend in kritischen Bereichen der Computerinfrastruktur von Unternehmen eingesetzt wird. VMware wies in seinem Bericht darauf hin, dass Linux das am weitesten verbreitete Betriebssystem in Multicloud-Umgebungen ist und 78 % der beliebtesten Websites auf Linux basieren. Daher könnten erfolgreiche Angriffe auf diese Systeme den Betrieb der Organisation erheblich schädigen.
„Malware, die auf Linux-basierte Systeme abzielt, wird für Angreifer schnell zum Weg in hochwertige Multi-Cloud-Umgebungen“, warnte VMware.
Dennoch könnten die Sicherheitsvorkehrungen hinterherhinken, weist Clay darauf hin.
„Bedrohungsakteure sehen Möglichkeiten, dieses Betriebssystem anzugreifen, da es immer häufiger vorkommt, dass es kritische Bereiche eines Geschäftsbetriebs ausführt“, sagt er. „Da es in der Vergangenheit nicht viele Bedrohungen gab, die es angegriffen haben, fehlen möglicherweise Sicherheitskontrollen oder sind nicht ordnungsgemäß aktiviert, um es zu schützen.“
Schutz von Linux-Umgebungen
Laut Forschern müssen Linux-Administratoren zunächst standardmäßige Best Practices für die Sicherheit befolgen, um ihre Systeme zu schützen, z. B. die Aktualisierung der Systeme, die Minimierung des Zugriffs und die Durchführung regelmäßiger Scans.
Mike Parkin, leitender technischer Ingenieur bei Vulcan Cyber, sagt, es sei wichtig, die großen Unterschiede in der Art und Weise zu beachten, wie Linux- und Windows-basierte Systeme bei der Risikobewertung und Patch-Verwaltung verwendet werden. Linux-Systeme sind in der Regel Server, die sowohl vor Ort als auch in Cloud-Bereitstellungen zu finden sind. Obwohl es viele Windows-Server gibt, gibt es weitaus mehr Windows-Desktops, und diese werden oft ins Visier genommen, wobei die Server dann von der anfänglichen Windows-Haltestelle aus kompromittiert werden.
Darüber hinaus sollte das Bewusstsein der Linux-Benutzer für Social Engineering ein organisatorischer Schwerpunkt sein.
„Linux-Systemadministratoren fallen hoffentlich seltener auf typische Phishing- und Social-Engineering-Angriffe herein als die allgemeine Bevölkerung“, sagt Parkin. „Aber der Standardratschlag gilt: Benutzer müssen geschult werden, um Teil der Lösung und nicht Teil der Angriffsfläche zu sein.“
Clay sagt unterdessen, dass Unternehmen als Erstes eine Bestandsaufnahme aller von ihnen ausgeführten Linux-basierten Systeme durchführen und dann versuchen müssen, einen Linux-basierten Sicherheitsansatz zum Schutz vor verschiedenen Bedrohungen zu implementieren.
„Idealerweise wäre dies Teil einer Cybersicherheitsplattform, auf der sie Sicherheitskontrollen automatisch bereitstellen könnten, wenn Linux-Systeme online gehen, und ihre Kontrollen für Windows-basierte Systeme modellieren könnten“, sagt er. „Stellen Sie sicher, dass dies Technologien wie maschinelles Lernen, virtuelles Patching, Anwendungskontrolle, Integritätsüberwachung und Protokollprüfung umfasst.“
