*El informe de VMware revela que más de la mitad de los usuarios de Cobalt Strike están utilizando la herramienta ilícitamente
Ciudad de México, Marzo de 2022.- Como
el sistema operativo de nube más común, Linux es una parte fundamental
de la infraestructura digital y se está convirtiendo rápidamente en el
ticket de acceso de los atacantes al entorno de nubes múltiples. Las
contramedidas actuales de malware se centran principalmente en cómo
abordar las amenazas basadas en Windows, lo que deja a muchas
implementaciones de nubes públicas y privadas vulnerables a ataques
dirigidos a cargas de trabajo basadas en Linux.
El día de hoy, VMware, Inc. (NYSE: VMW) publicó un informe sobre las amenazas titulado “Exponer malware en entornos de nubes múltiples basados en Linux”.(1) Entre
las principales conclusiones, que detallan cómo los cibercriminales
utilizan el malware para atacar los sistemas operativos basados en
Linux, se incluyen:
- Ransomware
está evolucionando para atacar imágenes de host de Linux utilizadas
para hacer girar cargas de trabajo en entornos virtualizados;
- El 89% de los ataques de criptosecuestros utilizan bibliotecas relacionadas con XMRig; y
- Más
de la mitad de los usuarios de Cobalt Strike pueden ser cibercriminales
o, al menos, utilizar Cobalt Strike de forma ilícita.
“Los
cibercriminales están ampliando drásticamente su alcance y añadiendo
malware dirigido a los sistemas operativos basados en Linux a su kit de
herramientas de ataque para maximizar su impacto con el menor esfuerzo
posible”, afirmó Giovanni Vigna, director sénior de inteligencia frente a amenazas de VMware. “En
lugar de infectar una terminal y luego navegar hacia un objetivo de
mayor valor, los cibercriminales han descubierto que poner en peligro un
único servidor puede ofrecer una mayor recompensa y el acceso que
buscan. Los atacantes consideran las nubes públicas y privadas como
objetivos de gran valor debido al acceso que proporcionan a los
servicios de infraestructura críticos y a los datos confidenciales.
Lamentablemente, las actuales contramedidas relativas al malware se
centran principalmente en cómo abordar las amenazas basadas en Windows,
lo que hace que muchas implementaciones de nubes públicas y privadas
sean vulnerables a los ataques contra sistemas operativos basados en
Linux”.
A
medida que el malware dirigido a sistemas operativos basados en Linux
aumenta tanto en volumen como en complejidad, en medio de un panorama de
amenazas en constante cambio, las organizaciones deben dar mayor
prioridad a la detección de amenazas. En este informe, la Unidad de
Análisis de Amenazas de VMware (TAU) analizó las amenazas a los sistemas
operativos basados en Linux en los entornos de nubes múltiples:
ransomware, criptomineros y herramientas de acceso remoto.
El ransomware apunta a la nube para infligir el máximo daño
Como una de las principales causas de incumplimiento para las organizaciones, un ataque de ransomware exitoso en un entorno de nube puede tener consecuencias devastadoras.(2) Los
ataques de ransomware contra las implementaciones en la nube están
dirigidos y a menudo se combinan con la filtración de datos,
implementando un esquema de extorsión doble que mejora las
probabilidades de éxito.
Un
nuevo desarrollo muestra que el ransomware está evolucionando para
atacar imágenes de host Linux utilizadas para hacer girar las cargas de
trabajo en entornos virtualizados. Los atacantes buscan ahora los
activos más valiosos en entornos de nube para infligir la máxima
cantidad de daño al objetivo. Entre los ejemplos se incluyen la familia
de ransomware Defray777, que encriptó imágenes de host en servidores
ESXi, y la familia de ransomware DarkSide, que paralizó las redes de
Colonial Pipeline y causó una escasez de gasolina en todo el país en los
Estados Unidos.
Los ataques de criptosecuestros usan XMRig para minar Monero
Los
cibercriminales que buscan una recompensa monetaria instantánea a
menudo atacan a las criptomonedas utilizando uno de dos enfoques. Los
cibercriminales incluyen la funcionalidad de robo de carteras en malware
o monetizan los ciclos de CPU robados para extraer con éxito
criptomonedas en un ataque llamado criptosecuestro. La mayoría de los
ataques de criptosecuestros se centran en la minería de la moneda Monero
(o XMR) y VMware TAU descubrió que el 89% de los criptomineros
utilizaban bibliotecas relacionadas con XMRig.
Es
por esto que, cuando se identifican las bibliotecas y módulos
específicos de XMRig en los binarios de Linux, es probable que se
produzca un comportamiento criptominero malicioso. VMware TAU también
observó que la evasión de defensa es la técnica más utilizada por los
criptomineros. Desafortunadamente, debido a que los ataques de
criptosecuestros no interrumpen completamente las operaciones de
entornos de nube como el ransomware, son mucho más difíciles de
detectar.
Cobalt Strike es la herramienta de acceso remoto preferida por los atacantes
Para
obtener el control y persistir en un entorno, los atacantes buscan
instalar un implante en un sistema comprometido que les proporcione un
control parcial de la máquina. El malware, los webshells y las
herramientas de acceso remoto (RATs) pueden ser implantes utilizados por
los atacantes en un sistema comprometido para permitir el acceso
remoto. Uno de los implantes principales utilizados por los atacantes es
Cobalt Strike, una herramienta de prueba de penetración comercial y
equipo rojo, y su reciente variante Vermilion Strike basada en Linux.
Dado que Cobalt Strike es una amenaza tan ubicua para Windows, la
expansión al sistema operativo basado en Linux demuestra el deseo de los
atacantes de utilizar herramientas de fácil acceso que se dirigen al
mayor número posible de plataformas.
VMware
TAU descubrió más de 14,000 servidores activos de Cobalt Strike Team en
Internet entre febrero de 2020 y noviembre de 2021. El porcentaje total
de ID de clientes de Cobalt Strike descifrados y filtrados es del 56%,
lo que significa que más de la mitad de los usuarios de Cobalt Strike
pueden ser cibercriminales o, al menos, utilizan Cobalt Strike de forma
ilícita. El hecho de que RATs como Cobalt Strike y Vermilion Strike se
hayan convertido en herramientas básicas para los cibercriminales
representa una amenaza significativa para las compañías.
“Desde
que realizamos nuestro análisis, se observó que aún más familias de
ransomware gravitan al malware dirigido a sistemas basados en Linux, con
el potencial de ataques adicionales que podrían aprovechar las
vulnerabilidades Log4j”, dijo Brian Baskin, director de investigación de amenazas de VMware. “Los
resultados de este informe se pueden utilizar para comprender mejor la
naturaleza de este malware y mitigar la creciente amenaza que tienen el
ransomware, el criptominado y las RATS en entornos de nubes múltiples. A
medida que los ataques dirigidos a la nube sigan evolucionando, las
organizaciones deben adoptar un enfoque de confianza cero para integrar
la seguridad en toda su infraestructura y abordar sistemáticamente los
vectores de amenazas que conforman su superficie de ataque”.
Descargue el informe completo aquí.
No hay comentarios:
Publicar un comentario