Linux có thể không bằng Windows về số lượng các cuộc tấn công thô sơ nhằm vào các hệ thống chạy hệ điều hành này, nhưng mối quan tâm của các tác nhân đe dọa đối với các máy chủ và công nghệ dựa trên Linux đã tăng lên đáng kể gần đây.
Theo một báo cáo từ Trend Micro trong tuần này, điều đó có thể nhằm đáp ứng nhu cầu sử dụng cơ sở hạ tầng Linux ngày càng tăng của doanh nghiệp - đặc biệt là trên đám mây - để lưu trữ các ứng dụng và dữ liệu quan trọng. Công ty xác định số vụ tấn công bằng ransomware nhắm vào hệ thống Linux đã tăng 75% trong nửa đầu năm 2022 so với cùng kỳ năm ngoái.
Báo cáo cũng cho biết các nhà nghiên cứu của công ty đã phát hiện 1,961 trường hợp cố gắng tấn công ransomware dựa trên Linux đối với khách hàng của mình trong sáu tháng đầu năm 2022 so với 1,121 trong nửa đầu năm 1.
Tấn công Linux, VMware ESXi Ransomware
Mức tăng này phù hợp với những quan sát trước đây của Trend Micro về các tác nhân đe dọa mở rộng nỗ lực của họ nhằm vào các nền tảng Linux và máy chủ ESXi, được nhiều tổ chức sử dụng để quản lý máy ảo và vùng chứa.
Nhà cung cấp bảo mật này đã mô tả xu hướng này được dẫn đầu bởi các nhà điều hành dòng ransomware REvil và DarkSide, đồng thời đạt được động lực với việc phát hành biến thể ransomware LockBit cho hệ thống Linux và VMware ESXi vào tháng XNUMX năm ngoái.
Đầu năm nay, các nhà nghiên cứu của Trend Micro đã quan sát thấy một biến thể khác có tên “Cheerscrypt” xuất hiện ngoài thực tế và cũng nhắm mục tiêu vào các máy chủ ESXi. Và một số nhà cung cấp bảo mật khác đã báo cáo việc quan sát các ransomware khác như Luna và Black Basta có thể mã hóa dữ liệu trên hệ thống Linux.
Ransomware hiện là loại ransomware lớn nhất nhưng không phải là mối đe dọa duy nhất nhắm vào hệ thống Linux. Một báo cáo mà VMware phát hành đầu năm nay cũng ghi nhận sự gia tăng trong hoạt động tấn công bằng tiền điện tử và việc sử dụng các Trojan truy cập từ xa (RAT) được thiết kế để tấn công môi trường Linux.
Chẳng hạn, công ty đã phát hiện ra rằng các tác nhân đe dọa đang sử dụng phần mềm độc hại như XMRig để đánh cắp chu kỳ CPU trên các máy Linux nhằm khai thác Monero và các loại tiền điện tử khác.
Jon Clay, phó chủ tịch phụ trách tình báo mối đe dọa của Trend Micro, cho biết: “Phần mềm độc hại khai thác tiền điện tử trên Linux đã chứng kiến sự gia tăng trong nửa đầu năm, có thể là do hoạt động khai thác tiền điện tử dựa trên đám mây đã chứng kiến sự gia tăng của các tác nhân độc hại gây ra mối đe dọa này”.
Báo cáo của VMware cũng quan sát thấy việc sử dụng rộng rãi các công cụ như Cobalt Strike để nhắm mục tiêu vào các hệ thống Linux và sự xuất hiện của việc triển khai Cobalt Strike trên Linux có tên là “Vermilion Strike”.
Giống như Trend Micro, VMware cũng lưu ý sự gia tăng về số lượng và độ phức tạp các cuộc tấn công bằng ransomware vào cơ sở hạ tầng Linux — đặc biệt là lưu trữ hình ảnh cho khối lượng công việc trong môi trường ảo. Công ty mô tả nhiều cuộc tấn công bằng ransomware nhằm vào các hệ thống Linux là có chủ đích chứ không phải mang tính cơ hội, đồng thời kết hợp việc đánh cắp dữ liệu và các âm mưu tống tiền khác.
Điểm khởi đầu cho môi trường doanh nghiệp có giá trị cao
Cho đến nay, Windows vẫn tiếp tục là hệ điều hành được nhắm mục tiêu nhiều nhất, đơn giản chỉ vì quy mô cơ sở được cài đặt của nó. Clay cho biết trong số 63 tỷ mối đe dọa mà Trend Micro đã chặn đối với khách hàng trong nửa đầu năm 2022, chỉ một tỷ lệ rất nhỏ là dựa trên Linux. Ông nói, mặc dù có hàng triệu lượt phát hiện mối đe dọa Linux trong nửa đầu năm 1, nhưng vẫn có hàng tỷ cuộc tấn công vào hệ thống Windows trong cùng thời kỳ.
Nhưng các cuộc tấn công ngày càng tăng vào hệ thống Linux đang gây rắc rối vì cách Linux bắt đầu được sử dụng trong các lĩnh vực quan trọng của cơ sở hạ tầng máy tính doanh nghiệp. VMware đã chỉ ra trong báo cáo của mình rằng Linux là hệ điều hành phổ biến nhất trên các môi trường đa đám mây và 78% các trang web phổ biến nhất đều được cung cấp bởi Linux. Do đó, các cuộc tấn công thành công vào các hệ thống này có thể gây ra tác hại đáng kể cho hoạt động của tổ chức.
VMware cảnh báo: “Phần mềm độc hại nhắm mục tiêu vào các hệ thống dựa trên Linux đang nhanh chóng trở thành con đường của kẻ tấn công vào các môi trường nhiều đám mây, có giá trị cao”.
Mặc dù vậy, các biện pháp bảo vệ an ninh có thể bị chậm trễ, Clay chỉ ra.
Ông nói: “Các tác nhân đe dọa đang nhìn thấy cơ hội tấn công hệ điều hành này vì người ta thường thấy nó chạy trong các lĩnh vực quan trọng của hoạt động kinh doanh”. “Bởi vì về mặt lịch sử, nó chưa thấy nhiều mối đe dọa nhắm vào nó nên các biện pháp kiểm soát bảo mật có thể bị thiếu hoặc không được kích hoạt đúng cách để bảo vệ nó.”
Bảo vệ môi trường Linux
Các nhà nghiên cứu cho biết, các quản trị viên Linux trước hết cần tuân theo các phương pháp bảo mật tiêu chuẩn tốt nhất để bảo mật hệ thống của họ, chẳng hạn như luôn cập nhật hệ thống, giảm thiểu quyền truy cập và tiến hành quét thường xuyên.
Mike Parkin, kỹ sư kỹ thuật cao cấp tại Vulcan Cyber, cho biết điều quan trọng là cần lưu ý những khác biệt chính trong cách sử dụng hệ thống dựa trên Linux và Windows khi đánh giá rủi ro và quản lý bản vá. Hệ thống Linux thường là các máy chủ được tìm thấy cả tại chỗ và triển khai trên đám mây. Mặc dù có rất nhiều máy chủ Windows, nhưng có nhiều máy tính để bàn Windows hơn và đó thường là những mục tiêu bị nhắm tới, sau đó các máy chủ sẽ bị xâm phạm từ vị trí Windows ban đầu đó.
Hơn nữa, nhận thức của người dùng Linux về kỹ thuật xã hội phải là trọng tâm của tổ chức.
Parkin nói: “Hy vọng rằng các quản trị viên hệ thống Linux sẽ ít có khả năng rơi vào các cuộc tấn công lừa đảo và kỹ thuật xã hội điển hình hơn so với dân chúng nói chung”. “Nhưng lời khuyên tiêu chuẩn được áp dụng - người dùng cần được đào tạo để trở thành một phần của giải pháp chứ không phải là một phần của bề mặt tấn công.”
Trong khi đó, Clay cho biết điều đầu tiên các tổ chức cần làm là kiểm kê tất cả các hệ thống dựa trên Linux mà họ đang chạy và sau đó xem xét triển khai phương pháp bảo mật dựa trên Linux để bảo vệ khỏi các mối đe dọa khác nhau.
Ông nói: “Lý tưởng nhất, đây sẽ là một phần của nền tảng an ninh mạng nơi họ có thể triển khai các biện pháp kiểm soát bảo mật một cách tự động khi hệ thống Linux trực tuyến và lập mô hình các biện pháp kiểm soát của họ cho các hệ thống dựa trên Windows”. “Đảm bảo điều này bao gồm các công nghệ như học máy, vá lỗi ảo, kiểm soát ứng dụng, giám sát tính toàn vẹn và kiểm tra nhật ký.”
