Зловредният софтуер настъпва към Linux

Киберпрестъпниците преместват фокуса си и към Linux

За последните 5 години Linux-системите се наложиха на пазара и станаха първи избор за сървърна операционна система за множество организации. Почти 80% от уебсайтовете в Интернет използват Linux за операционна система. Наред с добрите страни на подобна промяна, има и неприятни – разпространителите на зловреден софтуер постепенно прехвърлят фокуса си от Windows и към Linux. Оказва се, че особено интересни за тях са и клауд базираните системи.

Според новопубликувано проучване на VMware, киберпрестъпниците разширяват обхвата си на дейност и вече разпространяват софтуер таргетиращ специално Linux. Двата основни вида зловреден софтуер, който се използва, са ransomware и криптомайнъри. Целта на първите е след проникване в системата на жертвата, да криптират голяма част от файловете, като изискват извършване на плащане, за да разкриптират информацията. Подобна атака е свързана и със сериозно изтичане на информация, което може да е фатално за организацията. В проучването са изброени различни семейства ransomware с кратките им характеристики. Споменати са Defray777, шифриращ данни в ESXi хипервайзори и DarkSide, нанесъл щети на американската компания Colonial Pipeline и предизвикъл недостиг на бензин по източното крайбрежие на САЩ миналата година.

Вторият вид зловреден софтуер насочен към Linux са криптомайнърите. Те могат да използват ресурсите на системата, за да добиват криптовалута (най-често Monero) като успешно се прикриват под формата на системни процеси. Наличието на XMRig  библиотеки и модули в системата обикновено означава вредоносна активност в нея. Нерядко зловредния софтуер е насочен и към директна кражба от криптопортфейлите на потребителите.

За да проникнат в системата на жертвата, киберпрестъпниците използват вредоносен пакет - beacon, който чрез наличните на място технологии се свързва с команден сървър и предава информация, или изтегля допълнителен софтуер, необходим за атаката. Оказва се, че в голяма част от случаите се използват популярни корпоративни програми за тестване на сигурността, които са компроментирани и ползват едни и същи лицензионни ключове.

„Нашето изследване показва, че все повече семейства ransomware преминават в категорията зловреден софтуер за Linux. Съществува вероятност за атаки, които използват log4j уязвимостта. Изводите от нашето изследване могат да бъдат използвани за по-дълбоко разбиране на природата на зловредния софтуер за Linux и за сдържане на растящата заплаха, която представляват ransomware, криптомайнърите и програмите за отдалечен достъп до мултиоблачна среда. Тъй като атаките насочени към облака продължават да се развиват, организациите следва да се придържат към концепцията за нулево доверие (zero trust security) за обезпечение на безопасността на цялата си система.“ - заявява Брайън Баскин от авторите на изследването от VMware.

Връзка към изследването - https://blogs.vmware.com/security/2022/02/2022-vmware-threat-report-exposing-malware-in-linux-based-multi-cloud-environments.html

Павел Недялков

Павел Недялков

Павел е Мениджър Бизнес Развитие в Делта.БГ. Има 15 годишен опит в телекомуникациите и е работил в редица международни технологични компании. Когато не подготвя оферти, пише статии, чете за нови технологии или кръстосва планинските пътеки.