İşletim sistemini çalıştıran sistemlere yönelik ham saldırı sayısı söz konusu olduğunda Linux, Windows'a pek denk gelmeyebilir, ancak tehdit aktörlerinin Linux tabanlı sunuculara ve teknolojilere olan ilgisi son zamanlarda önemli ölçüde arttı.
Trend Micro'nun bu haftaki bir raporuna göre, bu durum büyük olasılıkla, Linux altyapılarının, özellikle bulutta, görev açısından kritik uygulamaları ve verileri barındırmak için artan kurumsal kullanımına bir yanıt olarak ortaya çıktı. Firma, 75'nin ilk yarısında Linux sistemlerini hedef alan fidye yazılımı saldırılarında geçen yılın aynı dönemine göre %2022'lik bir artış tespit etti.
Rapor ayrıca şirketten araştırmacıların tespit ettiğini söyledi. 1,961 Linux tabanlı fidye yazılımı saldırı girişimi örneği 2022'in ilk yarısındaki 1,121'e kıyasla 1'nin ilk altı ayında müşterilerinin sayısı arttı.
Artan Linux, VMware ESXi Fidye Yazılımı Saldırıları
Artış, Trend Micro'nun tehdit aktörleri hakkındaki önceki gözlemleriyle tutarlıydı. Linux platformlarını hedeflemek için çabalarını genişletmek ve birçok kuruluşun sanal makineleri ve kapsayıcıları yönetmek için kullandığı ESXi sunucuları.
Güvenlik satıcısı, trendin REvil ve DarkSide fidye yazılımı ailelerinin operatörleri tarafından yönetildiğini ve geçen Ekim ayında Linux ve VMware ESXi sistemleri için bir LockBit fidye yazılımı varyantının piyasaya sürülmesiyle ivme kazandığını açıkladı.
Bu yılın başlarında, Trend Micro araştırmacıları, ESXi sunucularını da hedef alan, "Cheerscrypt" adlı başka bir varyantın vahşi ortamda ortaya çıktığını gözlemledi. Ve diğer bazı güvenlik sağlayıcıları gözlemlediklerini bildirdi. Luna ve Black Basta gibi diğer fidye yazılımları Linux sistemlerindeki verileri şifreleyebilen.
Fidye yazılımı şu anda en büyüğü, ancak Linux sistemlerini hedefleyen tek tehdit değil. VMware'in bu yılın başlarında yayınladığı bir rapor, kripto hırsızlığında ve Linux ortamlarına saldırmak için tasarlanmış uzaktan erişim Truva atlarının (RAT'ler) kullanımında da bir artış olduğunu belirtti.
Örneğin şirket, tehdit aktörlerinin XMRig gibi kötü amaçlı yazılımları Monero ve diğer kripto para birimleri madenciliği yapmak üzere Linux makinelerinde CPU döngülerini çalmak için kullandığını keşfetti.
Trend Micro'nun tehdit istihbaratı başkan yardımcısı Jon Clay, "Linux'ta kripto madenciliği kötü amaçlı yazılımları, muhtemelen bulut tabanlı kripto madenciliğinin bu tehdidi gerçekleştiren kötü niyetli aktörler tarafından büyüdüğü gerçeğinden dolayı, ilk yarıda bir artış gördü" diyor.
VMware'in raporu ayrıca Linux sistemlerini hedeflemek için Cobalt Strike gibi araçların kullanımının yaygınlaştığını ve Cobalt Strike'ın "Vermilion Strike" adlı bir Linux uygulamasının ortaya çıktığını gözlemledi.
Trend Micro gibi, VMware de dikkat çekti hacim ve karmaşıklıkta bir artış Linux altyapısına yönelik fidye yazılımı saldırılarının sayısı - özellikle sanal ortamlardaki iş yükleri için ana bilgisayar görüntüleri. Şirket, Linux sistemlerine yönelik fidye yazılımı saldırılarının birçoğunu fırsatçı olmaktan çok hedefli ve veri hırsızlığı ile diğer gasp planlarını birleştiren saldırılar olarak tanımladı.
Yüksek Değerli Kurumsal Ortamlara Giriş Noktası
Windows, yalnızca kurulu tabanının boyutu nedeniyle açık ara en çok hedeflenen işletim sistemi olmaya devam ediyor. Clay, Trend Micro'nun 63'nin ilk yarısında müşteriler için engellediği 2022 milyar tehdidin yalnızca çok küçük bir yüzdesinin Linux tabanlı olduğunu söylüyor. 1H, 2022'de milyonlarca Linux tehdidi tespiti olmasına rağmen, aynı dönemde Windows sistemlerine milyarlarca saldırı olduğunu söylüyor.
Ancak Linux sistemlerine yönelik artan saldırılar, Linux'un iş bilgi işlem altyapısının kritik alanlarında nasıl kullanılmaya başlandığı nedeniyle rahatsız edici. VMware raporunda, Linux'un çoklu bulut ortamlarında en yaygın işletim sistemi olduğuna ve en popüler web sitelerinin %78'inin Linux tarafından desteklendiğine dikkat çekti. Bu nedenle, bu sistemlere yönelik başarılı saldırılar, kuruluşun operasyonlarına önemli ölçüde zarar verebilir.
VMware, "Linux tabanlı sistemleri hedef alan kötü amaçlı yazılımlar, hızla saldırganların yüksek değerli, çoklu bulut ortamlarına girme yolu haline geliyor" uyarısında bulundu.
Buna rağmen güvenlik korumaları gecikiyor olabilir, diyor Clay.
"Tehdit aktörleri, bir iş operasyonunun kritik alanlarını çalıştırdığını görmek daha yaygın olduğundan, bu işletim sistemine saldırmak için fırsatlar görüyor" diyor. "Geçmişte kendisini hedef alan pek çok tehdit görmediği için, güvenlik denetimleri eksik olabilir veya onu korumak için uygun şekilde etkinleştirilmemiş olabilir."
Linux Ortamlarını Koruma
Araştırmacılar, Linux yöneticilerinin sistemlerini güvence altına almak için her şeyden önce sistemleri yamalanmış halde tutmak, erişimi en aza indirmek ve düzenli taramalar yapmak gibi standart en iyi güvenlik uygulamalarını takip etmesi gerektiğini söylüyor.
Vulcan Cyber'de kıdemli teknik mühendis olan Mike Parkin, riski değerlendirirken ve yama uygulamalarını yönetirken Linux ve Windows tabanlı sistemlerin nasıl kullanıldığına dair büyük farklılıkları not etmenin önemli olduğunu söylüyor. Linux sistemleri genellikle hem şirket içinde hem de bulut dağıtımlarında bulunan sunuculardır. Çok sayıda Windows sunucusu olsa da, çok daha fazla Windows masaüstü vardır ve bunlar genellikle hedeflenenlerdir, sunucular daha sonra Windows'un ilk ayak parmağından tehlikeye girer.
Ayrıca, sosyal mühendislikle ilgili Linux kullanıcı farkındalığı organizasyonel bir odak noktası olmalıdır.
Parkin, "Umarım, Linux sistem yöneticilerinin tipik kimlik avı ve sosyal mühendislik saldırılarına genel nüfusa göre daha az aldanması olasıdır" diyor. "Ancak standart tavsiye geçerlidir - kullanıcıların saldırı yüzeyinin bir parçası olmak yerine çözümün bir parçası olacak şekilde eğitilmesi gerekir."
Bu arada Clay, kuruluşların yapması gereken ilk şeyin çalıştırdıkları tüm Linux tabanlı sistemlerin envanterini çıkarmak ve ardından farklı tehditlere karşı korunmak için Linux tabanlı bir güvenlik yaklaşımı uygulamaya çalışmak olduğunu söylüyor.
"İdeal olarak bu, Linux sistemleri çevrimiçi olduğunda güvenlik kontrollerini otomatik olarak uygulayabilecekleri ve kontrollerini Windows tabanlı sistemler için modelleyebilecekleri bir siber güvenlik platformunun parçası olacaktır" diyor. "Bunun makine öğrenimi, sanal yama, uygulama kontrolü, bütünlük izleme ve günlük denetimi gibi teknolojileri içerdiğinden emin olun."
