Linux er kanskje ikke helt opp til Windows når det kommer til det rå antallet angrep mot systemer som kjører operativsystemet, men trusselaktørens interesse for Linux-baserte servere og teknologier har økt betraktelig den siste tiden.
Det er sannsynligvis som svar på økende bedriftsbruk av Linux-infrastrukturer – spesielt i skyen – for å være vert for virksomhetskritiske applikasjoner og data, ifølge en rapport fra Trend Micro denne uken. Firmaet identifiserte en 75% økning i løsepengevare-angrep rettet mot Linux-systemer i første halvdel av 2022 sammenlignet med samme periode i fjor.
Rapporten sa også at forskere fra selskapet oppdaget 1,961 XNUMX tilfeller av Linux-baserte forsøk på løsepengevareangrep på sine kunder i de første seks månedene av 2022 mot 1,121 1 i 2021. halvår XNUMX.
Økende Linux, VMware ESXi Ransomware-angrep
Økningen stemte overens med Trend Micros tidligere observasjoner om trusselaktører utvider sin innsats mot Linux-plattformer og ESXi-servere, som mange organisasjoner bruker til å administrere virtuelle maskiner og containere.
Sikkerhetsleverandøren har beskrevet trenden som ledet av operatørene av REvil- og DarkSide-ransomware-familiene, og får fart med utgivelsen av en LockBit-ransomware-variant for Linux- og VMware ESXi-systemer i oktober i fjor.
Tidligere i år observerte Trend Micro-forskere nok en variant kalt "Cheerscrypt" som ble vist i naturen som også var rettet mot ESXi-servere. Og flere andre sikkerhetsleverandører har rapportert å observere annen løsepengevare som Luna og Black Basta som kan kryptere data på Linux-systemer.
Ransomware er for tiden den største, men ikke den eneste trusselen rettet mot Linux-systemer. En rapport som VMware ga ut tidligere i år, bemerket også en økning i kryptojacking og bruken av fjerntilgangstrojanere (RAT) designet for å angripe Linux-miljøer.
Selskapet oppdaget for eksempel at trusselaktører bruker skadelig programvare som XMRig for å stjele CPU-sykluser på Linux-maskiner for å utvinne Monero og andre kryptovalutaer.
"Cryptomining malware på Linux så en økning i første halvår, sannsynligvis på grunn av det faktum at skybasert kryptomining har sett vekst av ondsinnede aktører som utøver denne trusselen," bemerker Jon Clay, visepresident for trusseletterretning i Trend Micro.
VMwares rapport observerte også utvidet bruk av verktøy som Cobalt Strike for å målrette Linux-systemer og fremveksten av en Linux-implementering av Cobalt Strike kalt "Vermilion Strike."
Som Trend Micro, også VMware bemerket en økning i volumet og raffinement av løsepenge-angrep på Linux-infrastruktur – spesielt vertsbilder for arbeidsbelastninger i virtuelle miljøer. Selskapet beskrev mange av løsepenge-angrepene mot Linux-systemer som målrettede, snarere enn opportunistiske, og kombinerer dataeksfiltrering og andre utpressingsordninger.
Et inngangspunkt til bedriftsmiljøer med høy verdi
Windows fortsetter å være – langt – det mest målrettede operativsystemet, ganske enkelt på grunn av størrelsen på den installerte basen. Clay sier av de 63 milliarder truslene som Trend Micro blokkerte for kunder i første halvdel av 2022, var det bare en svært liten prosentandel som var Linux-basert. Selv om det var millioner av Linux-trusseldeteksjoner i 1H, 2022, var det milliarder av angrep på Windows-systemer i samme periode, sier han.
Men de økende angrepene på Linux-systemer er urovekkende på grunn av hvordan Linux begynner å bli brukt innenfor kritiske områder av virksomhetens datainfrastruktur. VMware påpekte i sin rapport at Linux er det vanligste operativsystemet på tvers av multicloud-miljøer, og 78 % av de mest populære nettstedene er drevet av Linux. Vellykkede angrep på disse systemene kan således forårsake betydelig skade på organisasjonens virksomhet.
"Skadelig programvare rettet mot Linux-baserte systemer er raskt i ferd med å bli en angripers vei inn i høyverdi, multi-skymiljøer," advarte VMware.
Allikevel kan sikkerhetsbeskyttelsen bli hengende, påpeker Clay.
"Trusselsaktører ser muligheter til å angripe dette operativsystemet ettersom det er mer vanlig å se det kjører kritiske områder av en forretningsdrift," sier han. "Fordi den historisk sett ikke har sett mange trusler rettet mot den, kan sikkerhetskontroller mangle eller ikke aktivert riktig for å beskytte den."
Beskytte Linux-miljøer
Linux-administratorer må først og fremst følge standard sikkerhetspraksis for å sikre systemene sine, sier forskere, for eksempel å holde systemene lappet, minimere tilgangen og utføre regelmessige skanninger.
Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, sier det er viktig å merke seg de store forskjellene i hvordan Linux- og Windows-baserte systemer brukes når man vurderer risiko og administrerer patching. Linux-systemer er vanligvis servere som finnes både på stedet og i skydistribusjoner. Selv om det er mange Windows-servere, er det langt flere Windows-stasjonære datamaskiner, og det er ofte disse som blir målrettet, og serverne blir deretter kompromittert fra det første Windows-håndtaket.
Videre bør Linux-brukerbevissthet rundt sosial ingeniørarbeid være et organisatorisk fokus.
"Linux-systemadministratorer er forhåpentligvis mindre tilbøyelige til å falle for typiske phishing- og sosialteknikkangrep enn befolkningen generelt," sier Parkin. "Men standardrådene gjelder - brukere må trenes til å være en del av løsningen i stedet for en del av angrepsoverflaten."
Clay sier i mellomtiden at det første organisasjoner må gjøre er å inventere alle de Linux-baserte systemene de kjører og deretter se etter å implementere en Linux-basert sikkerhetstilnærming for å beskytte mot forskjellige trusler.
"Ideelt sett ville dette være en del av en cybersikkerhetsplattform der de kan distribuere sikkerhetskontroller automatisk når Linux-systemer kommer online og modellerer kontrollene for Windows-baserte systemer," sier han. "Sørg for at dette inkluderer teknologier som maskinlæring, virtuell patching, applikasjonskontroll, integritetsovervåking og logginspeksjon."
