Relatório da VMware aponta que mais da metade dos usuários do Cobalt Strike estão usando a ferramenta de forma ilícita
Por ser o sistema operacional mais comum nas nuvens, o Linux é uma parte essencial da infraestrutura digital e tem se tornado a porta de entrada para invasores em ambientes multi-cloud.
As atuais contramedidas de malware estão focadas principalmente em lidar com ameaças baseadas em Windows, deixando muitas implantações de nuvem pública e privada vulneráveis a ataques direcionados a cargas de trabalho baseadas em Linux.
Diante deste cenário, a VMware, Inc. (NYSE: VMW) divulgou um relatório de ameaças intitulado “Exposing Malware in Linux-based Multi-Cloud Environments” (“Expondo malwares em ambientes multi-cloud baseados em Linux”, em tradução livre). Entre as principais descobertas que detalham como os cibercriminosos usam malware para atingir sistemas operacionais baseados em Linux estão:
– O ransomware está evoluindo para direcionar imagens de host Linux usadas para girar cargas de trabalho em ambientes virtualizados;
– 89% dos ataques de cryptojacking usam bibliotecas relacionadas ao XMRig;
– Mais da metade dos usuários do Cobalt Strike podem ser cibercriminosos ou pelo menos usam o Cobalt Strike de forma ilícita.
“Os cibercriminosos estão expandindo drasticamente seu escopo e adicionando malwares que visam sistemas operacionais baseados em Linux ao seu kit de ferramentas de ataque, a fim de maximizar seu impacto com o mínimo de esforço possível”, aponta Giovanni Vigna, diretor sênior de inteligência de ameaças da VMware.
“Em vez de infectar um endpoint e navegar para um alvo de maior valor, os cibercriminosos descobriram que comprometer um único servidor pode oferecer o retorno e o acesso que estão procurando. Os invasores veem as nuvens públicas e privadas como alvos de alto valor devido ao acesso que fornecem a serviços de infraestrutura crítica e dados confidenciais. Infelizmente, as contramedidas atuais de malware estão principalmente focadas em lidar com ameaças baseadas em Windows, deixando muitas implantações de nuvem pública e privada vulneráveis a ataques em sistemas operacionais baseados em Linux.”
À medida que o malware direcionado ao Linux aumenta em volume e complexidade em meio a um cenário de ataques mudando rapidamente, as organizações devem priorizar a detecção destes.
Neste relatório, a VMware Threat Analysis Unit (TAU) analisou as ameaças aos sistemas operacionais baseados em Linux em ambientes multi-cloud: ransomware, criptomineradores e ferramentas de acesso remoto.
Ransomware tem como alvo a nuvem para causar danos máximos
Como uma das principais causas de violação para as organizações, um ataque de ransomware bem-sucedido em um ambiente de nuvem pode ter consequências devastadoras.
Eles geralmente são direcionados e combinados com exfiltração de dados, implementando um esquema de extorsão dupla que aumenta as chances de sucesso. Um novo desenvolvimento mostra que o ransomware está evoluindo para segmentar imagens de host Linux usadas para girar cargas de trabalho em ambientes virtualizados.
Os invasores agora estão procurando os ativos mais valiosos em nuvem para infligir o máximo de dano ao alvo. Os exemplos incluem a família de ransomware Defray777, que criptografou imagens de host em servidores ESXi, e a família de ransomware DarkSide, que prejudicou as redes da Colonial Pipeline e causou uma escassez de gasolina em todo o país nos EUA.
Ataques de cryptojacking usam XMRig para minerar Monero
Os cibercriminosos que procuram uma recompensa monetária instantânea geralmente visam criptomoedas usando uma das duas abordagens: incluem a funcionalidade de roubo de carteira em um malware ou monetizam ciclos de CPU roubados para minerar criptomoedas com sucesso em um ataque chamado cryptojacking.
A maioria dos ataques de cryptojacking se concentra na mineração da moeda Monero (ou XMR) e a VMware TAU descobriu que 89% dos criptomineradores usavam bibliotecas relacionadas ao XMRig. Por esse motivo, quando as bibliotecas e módulos específicos do XMRig em binários do Linux são identificados, é provável que seja uma evidência de comportamento malicioso de criptomineração.
O relatório também revelou que a evasão de defesa é a técnica mais usada pelos criptomineradores. Infelizmente, como os ataques de cryptojacking não interrompem completamente as operações de ambientes de nuvem como ransomware, eles são muito mais difíceis de detectar.
Cobalt Strike é a ferramenta de acesso remoto preferida dos invasores
Para obter controle e persistir em um ambiente, os invasores procuram instalar um implante em um sistema comprometido que lhes dê controle parcial da máquina. Malwares, webshells e ferramentas de acesso remoto (RATs), por exemplo, podem ser implantes usados por invasores em um sistema comprometido para permitir o acesso remoto.
Um dos principais usados pelos invasores é o Cobalt Strike, uma ferramenta comercial de teste de penetração e Red Team e sua variante recente Vermilion Strike baseada em Linux. Como o Cobalt Strike é uma ameaça tão onipresente no Windows, a expansão para o sistema operacional baseado em Linux demonstra o desejo dos invasores de usar ferramentas prontamente disponíveis que visam o maior número possível de plataformas.
A VMware TAU descobriu mais de 14.000 Cobalt Strike Team Servers ativos na internet entre fevereiro de 2020 e novembro de 2021. Além disso, aporcentagem total de IDs de clientes do Cobalt Strike acessados e vazados é de 56%, o que significa que mais da metade dos usuários podem ser cibercriminosos ou pelo menos usam o Cobalt Strike de forma ilícita.
O fato de RATs como Cobalt Strike e Vermilion Strike terem se tornado uma ferramenta de commodity para cibercriminosos representa uma ameaça significativa para as empresas.
“Desde que conduzimos nossa análise, ainda mais famílias de ransomware foram observadas gravitando em torno de malware direcionado a sistemas baseados em Linux, com potencial para ataques adicionais que poderiam alavancar as vulnerabilidades do Log4j.” , afirma Brian Baskin, gerente de pesquisa de ameaças na VMware.
“As descobertas deste relatório podem ser usadas para entender melhor a natureza desse malware e mitigar a crescente ameaça que ransomware, criptomineração e RATs têm em ambientes multi-cloud. À medida que os ataques direcionados à nuvem continuam a evoluir, as organizações devem adotar uma abordagem Zero Trust para incorporar a segurança em toda a infraestrutura e abordar sistematicamente os vetores de ameaças que compõem sua superfície de ataque.”
Metodologia
A VMware Threat Analysis Unit (TAU) ajuda a proteger os clientes contra ataques cibernéticos por meio de inovação e pesquisa de primeira classe. A TAU é composta por analistas de malware, engenheiros reversos, caçadores de ameaças, cientistas de dados e analistas de inteligência da VMware.
Para entender como detectar e prevenir ataques que ignoram as estratégias de prevenção tradicionais, centradas em arquivos, a TAU se concentra em técnicas que já foram domínio de hackers avançados e agora estão se movendo para o mercado de ataques de commodities.
A equipe aproveita big data em tempo real, processamento de streaming de eventos, análise estática, dinâmica e comportamental e machine learning.
Neste relatório foi aplicada uma composição de técnicas estáticas e dinâmicas para caracterizar várias famílias de malware observadas em sistemas baseados em Linux com base em um conjunto de dados com curadoria de metadados associados a binários Linux.
Todas as amostras neste conjunto de dados são públicas e, portanto, podem ser facilmente acessadas usando o VirusTotal ou vários sites das principais distribuições Linux. A TAU coletou mais de 11.000 amostras benignas de várias distribuições Linux, como Ubuntu, Debian, Mint, Fedora, CentOS e Kali; além de um conjunto de dados de amostras para duas classes de ameaças: ransomware e criptomineradores.
Por fim, foi reunido, ainda, um grupo de dados de binários ELF maliciosos do VirusTotal que foram usados como um conjunto de dados maliciosos de teste. A TAU começou a coleta de dados em junho de 2021 e concluiu em novembro de 2021.
Sobre a VMware
Os softwares da VMware capacitam a complexa infraestrutura digital do mundo. As ofertas de nuvem, rede, segurança e espaço de trabalho digital da empresa fornecem uma base digital dinâmica e eficiente para mais de 500 mil clientes globalmente, auxiliada por um ecossistema de 75 mil parceiros. Com sede em Palo Alto, Califórnia, a VMware está comprometida em ser uma força positiva, desde suas inovações revolucionárias até o seu impacto global.
Vivo seleciona VMware para fornecer rede telco-cloud para aplicações 5G
Check Point e VMware juntas para disponibilizar rede SD-WAN segura sob arquitetura SASE