Los ciberdelincuentes se centran en los servidores Linux para atacar los entornos multicloud

Recomendados:  Cloud: en busca de la agilidad Encuesta Claves para una estrategia multicloud de éxito Webinar La hoja de ruta de DevOps en materia de seguridad Leer

Un informe de VMware sobre malware en entornos multicloud Linux sugiere que que, como el sistema operativo se ha convertido en parte fundamental de la infraestructura digital, se convierte en una puerta de acceso cada vez más habitual de los ataques. “Los sistemas de defensa actuales contra el malware se centran principalmente en las amenazas a Windows, lo que deja a muchos despliegues de nubes públicas y privadas vulnerables frente a los ataques que tienen como objetivo las cargas de trabajo en Linux”, señala el documento.

A medida que el malware dirigido a sistemas operativos Linux aumenta, tanto en volumen como en complejidad en medio de un contexto de amenazas que cambia constantemente, las empresas tienen que poder priorizar la detección de estas. En este informe la Unidad de Análisis de Amenazas de VMware (VMware TAU) analiza las amenazas a los sistemas operativos Linux en entornos multicloud: ransomware, criptominería y herramientas de acceso remoto.

Ransomware
Los ataques certeros de ransomware en un entorno cloud pueden tener consecuencias devastadoras. Los ataques de ransomware contra nubes pretenden, y a menudo se combinan con, la filtración de datos implementando un esquema de doble extorsión que mejora las probabilidades de completar dicho ataque. Recientemente se ha percibido que el ransomware basado en Linux está mutando para dirigirse a las imágenes de host utilizadas para activar las cargas de trabajo en entornos virtualizados. Los delincuentes buscan ahora los activos más valiosos en entornos cloud y así provocar el máximo daño posible al objetivo. Entre los ejemplos de estos nuevos ataques está la familia de ransomware Defray777, que cifró imágenes de host en servidores ESXi; y la familia de ransomware DarkSide, que paralizó las redes de Colonial Pipeline y provocó una escasez de gasolina en todo Estados Unidos.

Criptojacking
Los ciberdelincuentes que buscan una recompensa monetaria instantánea suelen atacar las criptomonedas utilizando uno de estos enfoques: incluir la funcionalidad de robo de carteras en el malware, o monetizar los ciclos de CPU robados para minar criptodivisas con éxito en un ataque llamado cryptojacking. La mayoría de los ataques de criptojacking se centran en el minado de la moneda Monero (o XMR) y la unidad de VMware descubrió que el 89% de los criptomineros utilizaban bibliotecas relacionadas con XMRig. Por eso, cuando se identifican bibliotecas y módulos específicos de XMRig en los binarios de Linux es probable que se trate de una prueba de comportamiento malicioso de criptominería. La VMware TAU también observó que la evasión de la defensa es la técnica más utilizada por los criptomineros basados en Linux. Desgraciadamente, y como los ataques de criptominería no interrumpen completamente las operaciones de los entornos cloud como el ransomware, son mucho más difíciles de detectar.

Cobalt Strike como herramienta de acceso remoto
Para obtener el control y persistir en un entorno, los agresores buscan instalar un implante en un sistema comprometido que les dé el control parcial de la máquina. El malware, las webshells y las herramientas de acceso remoto (RAT, por sus siglas en inglés) pueden ser implantes utilizados por los agresores en un sistema comprometido que les permita el acceso remoto. Uno de los principales implantes utilizados por los agresores es Cobalt Strike, una herramienta comercial de pruebas de penetración, y su reciente variante Vermilion Strike basada en Linux. Dado que Cobalt Strike es una amenaza tan omnipresente en Windows, la expansión al sistema operativo Linux demuestra que los agresores quieren utilizar herramientas fácilmente disponibles que se dirijan a tantas plataformas como sea posible.

La VMware TAU descubrió más de 14.000 servidores activos de Cobalt Strike Team en Internet entre febrero de 2020 y noviembre de 2021. El porcentaje total de ID de clientes de Cobalt Strike crackeados y filtrados es del 56%, lo que significa que más de la mitad de los usuarios de Cobalt Strike pueden ser ciberdelincuentes, o al menos utilizar Cobalt Strike de forma ilícita. El hecho de que RATs como Cobalt Strike y Vermilion Strike se hayan convertido en una herramienta básica para los ciberdelincuentes supone una grave amenaza para las empresas.