Linux は、オペレーティング システムを実行しているシステムに対する攻撃の数だけを見ると、Windows に匹敵するものではないかもしれませんが、Linux ベースのサーバーとテクノロジに対する脅威アクターの関心は、最近大幅に高まっています。
Trend Micro の今週のレポートによると、これは、ミッション クリティカルなアプリケーションやデータをホストするために、特にクラウドで Linux インフラストラクチャを使用する企業が増えていることへの対応によるものと思われます。 同社は、昨年の同時期と比較して、75 年の前半に Linux システムを標的としたランサムウェア攻撃が 2022% 増加したことを確認しました。
レポートはまた、同社の研究者が発見したと述べた Linux ベースのランサムウェア攻撃試行の 1,961 件のインスタンス 2022 年上半期の 1,121 人に対し、1 年上半期の顧客数は
Linux、VMware ESXi ランサムウェア攻撃の急増
この増加は、脅威アクターに関するトレンドマイクロの以前の観察結果と一致していました。 Linuxプラットフォームを対象とする取り組みを拡大 多くの組織が仮想マシンとコンテナーを管理するために使用する ESXi サーバー。
セキュリティ ベンダーは、REvil および DarkSide ランサムウェア ファミリのオペレーターがこの傾向を先導し、昨年 XNUMX 月に Linux および VMware ESXi システム向けの LockBit ランサムウェアの亜種をリリースして勢いを増していると説明しています。
今年初め、Trend Micro の研究者は、「Cheerscrypt」と呼ばれる別の亜種が出現し、ESXi サーバーも標的にしていることを確認しました。 また、他のいくつかのセキュリティ ベンダーからも観察が報告されています。 Luna や Black Basta などのその他のランサムウェア Linux システムでデータを暗号化できます。
ランサムウェアは現在最大ですが、 Linux システムを標的とする脅威はこれだけではありません. VMware が今年初めにリリースしたレポートでは、クリプトジャッキングや、Linux 環境を攻撃するように設計されたリモート アクセス トロイの木馬 (RAT) の使用も増加していると指摘しています。
たとえば、同社は、攻撃者が XMRig などのマルウェアを使用して Linux マシンの CPU サイクルを盗み、Monero やその他の暗号通貨をマイニングしていることを発見しました。
「Linux 上のクリプトマイニング マルウェアは上半期に増加しました。これはおそらく、クラウドベースのクリプトマイニングが、この脅威を実行する悪意のある攻撃者によって増加したという事実によるものです」と、トレンドマイクロの脅威インテリジェンス担当バイスプレジデントであるジョン クレイは述べています。
VMware のレポートでは、Linux システムを標的とする Cobalt Strike などのツールの使用が拡大していることや、「Vermilion Strike」と呼ばれる Cobalt Strike の Linux 実装の出現も確認されています。
Trend Micro と同様、VMware も指摘 ボリュームアップと洗練度アップ Linux インフラストラクチャに対するランサムウェア攻撃の数、特に仮想環境のワークロードのホスト イメージ。 同社は、Linux システムに対するランサムウェア攻撃の多くは、日和見的ではなく標的型であり、データの流出とその他の恐喝スキームを組み合わせたものであると説明しています。
価値の高いエンタープライズ環境への入り口
Windows は、そのインストール ベースの規模から、最も標的にされているオペレーティング システムであり続けています。 Clay は、トレンドマイクロが 63 年上半期に顧客のためにブロックした 2022 億の脅威のうち、Linux ベースの脅威はごくわずかであると述べています。 1 年上半期には数百万件の Linux 脅威が検出されましたが、同じ期間に Windows システムに対する数十億件の攻撃があったと彼は言います。
しかし、ビジネス コンピューティング インフラストラクチャの重要な領域で Linux がどのように利用され始めているかを考えると、Linux システムに対する攻撃の増加は厄介な問題です。 VMware はそのレポートで、Linux がマルチクラウド環境で最も一般的なオペレーティング システムであり、最も人気のある Web サイトの 78% が Linux を使用していると指摘しています。 したがって、これらのシステムへの攻撃が成功すると、組織の運営にかなりの損害を与える可能性があります。
VMware は、「Linux ベースのシステムを標的とするマルウェアは、価値の高いマルチクラウド環境に攻撃者が侵入する手段になりつつあります」と警告しています。
それでも、セキュリティ保護は遅れている可能性があると Clay は指摘します。
「脅威アクターは、このオペレーティング システムがビジネス オペレーションの重要な領域を実行しているのを見るのがより一般的であるため、このオペレーティング システムを攻撃する機会を見つけています」と彼は言います。 「歴史的に、多くの脅威がそれを標的にするのを見たことがないため、セキュリティ制御が欠落しているか、保護するために適切に有効になっていない可能性があります.」
Linux 環境の保護
Linux 管理者はまず、システムにパッチを適用し、アクセスを最小限に抑え、定期的なスキャンを実施するなど、標準的なセキュリティのベスト プラクティスに従ってシステムを保護する必要があると研究者は述べています。
Vulcan Cyber のシニア テクニカル エンジニアである Mike Parkin 氏は、リスクを評価してパッチを適用する際に、Linux ベースのシステムと Windows ベースのシステムの使用方法の大きな違いに注意することが重要であると述べています。 Linux システムは通常、オンプレミスとクラウド展開の両方にあるサーバーです。 多くの Windows サーバーがありますが、はるかに多くの Windows デスクトップがあり、それらが標的にされることが多く、サーバーは最初の Windows の足掛かりから侵害されます。
さらに、ソーシャル エンジニアリングに関する Linux ユーザーの認識は、組織の焦点となるはずです。
「Linux システム管理者は、一般の人々よりも、典型的なフィッシングやソーシャル エンジニアリング攻撃に引っかかる可能性が低いことが期待されます」と Parkin 氏は言います。 「しかし、標準的なアドバイスが適用されます。ユーザーは、攻撃面の一部ではなく、ソリューションの一部になるようにトレーニングする必要があります。」
一方、Clay は、組織が最初に行う必要があるのは、実行しているすべての Linux ベースのシステムの一覧を作成し、さまざまな脅威から保護するために Linux ベースのセキュリティ アプローチの実装を検討することだと述べています。
「理想的には、これはサイバーセキュリティ プラットフォームの一部であり、Linux システムがオンラインになると自動的にセキュリティ制御を展開し、Windows ベースのシステムの制御をモデル化できるようになるでしょう」と彼は言います。 「これには、機械学習、仮想パッチ、アプリケーション制御、整合性監視、ログ検査などのテクノロジが含まれていることを確認してください。」
