O Linux pode não se equiparar ao Windows quando se trata do número bruto de ataques contra sistemas que executam o sistema operacional, mas o interesse dos agentes de ameaças em servidores e tecnologias baseados em Linux aumentou significativamente recentemente.
Isso provavelmente é uma resposta ao crescente uso empresarial de infraestruturas Linux – especialmente na nuvem – para hospedar aplicativos e dados de missão crítica, de acordo com um relatório da Trend Micro esta semana. A empresa identificou um aumento de 75% nos ataques de ransomware direcionados a sistemas Linux no primeiro semestre de 2022 em comparação com o mesmo período do ano passado.
O relatório também disse que pesquisadores da empresa detectaram 1,961 instâncias de tentativas de ataque de ransomware baseadas em Linux em seus clientes nos primeiros seis meses de 2022 contra 1,121 no 1S de 2021.
Surgimento de Linux, VMware ESXi Ransomware Ataques
O aumento foi consistente com as observações anteriores da Trend Micro sobre os agentes de ameaças ampliando seus esforços para atingir as plataformas Linux e servidores ESXi, que muitas organizações usam para gerenciar máquinas virtuais e contêineres.
O fornecedor de segurança descreveu a tendência como sendo liderada pelos operadores das famílias de ransomware REvil e DarkSide e ganhando força com o lançamento de uma variante do ransomware LockBit para sistemas Linux e VMware ESXi em outubro passado.
No início deste ano, os pesquisadores da Trend Micro observaram outra variante chamada “Cheerscrypt” surgindo que também tinha como alvo os servidores ESXi. E vários outros fornecedores de segurança relataram observar outros ransomwares como Luna e Black Basta que podem criptografar dados em sistemas Linux.
Ransomware é atualmente o maior, mas não é a única ameaça direcionada aos sistemas Linux. Um relatório divulgado pela VMware no início deste ano observou um aumento também no cryptojacking e no uso de Trojans de acesso remoto (RATs) projetados para atacar ambientes Linux.
A empresa, por exemplo, descobriu que os agentes de ameaças estão usando malware como XMRig para roubar ciclos de CPU em máquinas Linux para minerar Monero e outras criptomoedas.
“A mineração de criptografia de malware no Linux teve um aumento no primeiro semestre, provavelmente devido ao fato de que a mineração de criptografia baseada em nuvem teve um crescimento por parte de atores mal-intencionados que perpetram essa ameaça”, observa Jon Clay, vice-presidente de inteligência de ameaças da Trend Micro.
O relatório da VMware também observou o uso expandido de ferramentas como o Cobalt Strike para atingir sistemas Linux e o surgimento de uma implementação Linux do Cobalt Strike chamada “Vermilion Strike”.
Como a Trend Micro, a VMware também notou um aumento no volume e sofisticação de ataques de ransomware na infraestrutura do Linux — especialmente imagens de host para cargas de trabalho em ambientes virtuais. A empresa descreveu muitos dos ataques de ransomware contra sistemas Linux como direcionados, em vez de oportunistas, e combinando exfiltração de dados e outros esquemas de extorsão.
Um ponto de entrada para ambientes corporativos de alto valor
O Windows continua a ser - de longe - o sistema operacional mais visado, simplesmente por causa do tamanho de sua base instalada. Clay diz que das 63 bilhões de ameaças que a Trend Micro bloqueou para clientes no primeiro semestre de 2022, apenas uma porcentagem muito pequena era baseada em Linux. Embora houvesse milhões de detecções de ameaças ao Linux no primeiro semestre de 1, houve bilhões de ataques a sistemas Windows no mesmo período, diz ele.
Mas os crescentes ataques aos sistemas Linux são preocupantes porque o Linux está começando a ser utilizado em áreas críticas da infra-estrutura de computação empresarial. A VMware apontou em seu relatório que o Linux é o sistema operacional mais comum em ambientes multicloud, e 78% dos sites mais populares são baseados no Linux. Assim, ataques bem-sucedidos a esses sistemas podem causar danos consideráveis às operações da organização.
“O malware direcionado a sistemas baseados em Linux está rapidamente se tornando um caminho para os invasores entrarem em ambientes multinuvem de alto valor”, alertou a VMware.
Mesmo assim, as proteções de segurança podem estar atrasadas, aponta Clay.
“Os atores da ameaça estão vendo oportunidades para atacar esse sistema operacional, pois é mais comum vê-lo executando áreas críticas de uma operação comercial”, diz ele. “Como historicamente não houve muitas ameaças direcionadas a ele, os controles de segurança podem estar ausentes ou não ativados adequadamente para protegê-lo.”
Protegendo ambientes Linux
Os administradores do Linux precisam, antes de tudo, seguir as melhores práticas de segurança padrão para proteger seus sistemas, dizem os pesquisadores, como manter os sistemas corrigidos, minimizar o acesso e realizar verificações regulares.
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, diz que é significativo observar as principais diferenças na forma como os sistemas baseados em Linux e Windows são usados ao avaliar riscos e gerenciar patches. Os sistemas Linux geralmente são servidores encontrados tanto no local quanto em implantações na nuvem. Embora existam muitos servidores Windows, há muito mais desktops Windows, e esses são geralmente os alvos, com os servidores sendo comprometidos a partir do ponto de apoio inicial do Windows.
Além disso, a conscientização do usuário do Linux em relação à engenharia social deve ser um foco organizacional.
“Esperamos que os administradores de sistemas Linux sejam menos propensos a cair em ataques típicos de phishing e engenharia social do que a população em geral”, diz Parkin. “Mas o conselho padrão se aplica: os usuários precisam ser treinados para fazer parte da solução e não da superfície de ataque.”
Enquanto isso, Clay diz que a primeira coisa que as organizações precisam fazer é inventariar todos os sistemas baseados em Linux que estão executando e, em seguida, procurar implementar uma abordagem de segurança baseada em Linux para se proteger contra diferentes ameaças.
“Idealmente, isso faria parte de uma plataforma de segurança cibernética onde eles poderiam implantar controles de segurança automaticamente à medida que os sistemas Linux ficam online e modelar seus controles para sistemas baseados em Windows”, diz ele. “Garanta que isso inclua tecnologias como aprendizado de máquina, aplicação de patches virtuais, controle de aplicativos, monitoramento de integridade e inspeção de logs.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
