В частности, большую угрозу представляют шифровальщики, но поставщики систем безопасности заявляют, что также наблюдается рост числа криптоджекинга, вредоносных программ и уязвимостей, нацеленных на Linux, и защитники должны быть готовы к этому.
Возможно, Linux не дотягивает до Windows по количеству атак, но в последнее время интерес злоумышленников к серверам и технологиям на базе Linux значительно возрос.
Вероятно, это связано с растущим использованием Linux-инфраструктуры предприятиями - особенно в облаке - для размещения критически важных приложений и данных, сообщается в отчете Trend Micro, опубликованном на этой неделе. В первой половине 2022 года компания выявила 75% рост числа атак шифровальщиков на системы Linux по сравнению с аналогичным периодом прошлого года.
В отчете также говорится, что за первые шесть месяцев 2022 года исследователи компании зафиксировали 1 961 случай попыток атак с использованием Linux-программ-вымогателей на своих клиентов по сравнению с 1 121 случаем в первом полугодии 2021 года.
Рост числа атак шифровальщиков на Linux и VMware ESXi.
Рост числа атак соответствует предыдущим наблюдениям Trend Micro о том, что хакеры расширяют масштабы своей активности, нацеливаясь на платформы Linux и серверы ESXi, которые многие организации используют для управления виртуальными машинами и контейнерами.
Поставщик систем безопасности описывает эту тенденцию как возглавляемую операторами семейств шифровальщиков REvil и DarkSide и набирающую обороты после выпуска в октябре прошлого года варианта вредоноса LockBit для Linux и VMware ESXi.
В начале этого года исследователи Trend Micro обнаружили еще один штамм под названием «Cheerscrypt», который также нацелен на серверы ESXi. Кроме того, несколько других производителей систем безопасности сообщили о наблюдении других шифровальщиков, таких как Luna и Black Basta, которые могут шифровать данные в системах Linux.
В настоящее время шифровальщики являются самой большой, но не единственной угрозой, направленной на Linux-системы. В отчете, который компания VMware выпустила в начале этого года, отмечается рост числа криптоджекинга и использования троянов удаленного доступа (RAT), предназначенных для атак на Linux-среды.
Например, компания обнаружила, что хакеры используют вредоносные программы, такие как XMRig, для кражи циклов процессора на машинах Linux с целью добычи Monero и других криптовалют.
«Распространение вредоносов для майнинга криптовалют на Linux увеличилось в первой половине года, что, вероятно, связано с тем, что «облачный» майнинг криптовалют стал активно использоваться злоумышленниками» - отмечает Джон Клей, вице-президент Trend Micro по анализу угроз.
В отчете VMware также отмечается расширение использования таких инструментов, как Cobalt Strike, для атак на системы Linux и появление Linux-реализации Cobalt Strike под названием «Vermilion Strike».
Как и Trend Micro, компания VMware также отметила увеличение числа и сложности атак шифровальщиков на инфраструктуру Linux - особенно на образы хостов для рабочих нагрузок в виртуальных средах. Компания описала многие атаки на Linux-системы как целенаправленные, а не случайные, сочетающие извлечение данных и другие схемы вымогательства.
Точка входа в высокоценные корпоративные среды.
Операционная система Windows продолжает оставаться наиболее атакуемой операционной системой просто из-за распространения. По словам Клэя, из 63 миллиардов атак, которые компания Trend Micro заблокировала у клиентов в первой половине 2022 года, лишь очень небольшой процент приходился на Linux. По его словам, хотя в первом полугодии 2022 года были обнаружены миллионы угроз, нацеленных на Linux, за тот же период на системы Windows были совершены миллиарды атак.
Однако рост числа атак на Linux-системы вызывает беспокойство, поскольку Linux начинает использоваться в критически важных областях вычислительной инфраструктуры бизнеса. В своем отчете VMware отмечает, что Linux является наиболее распространенной операционной системой в мультиоблачных средах, а 78% самых популярных веб-сайтов работают на Linux. Таким образом, успешные атаки на эти системы могут нанести значительный ущерб деятельности организации.
«Вредоносное ПО, нацеленное на системы на базе Linux, быстро становится путем злоумышленников в высокоценные многооблачные среды» - предупреждает VMware.
Несмотря на это, средства защиты могут отставать, отмечает Клей.
«Атакующие видят возможности для атак на эту операционную систему, поскольку она все чаще используется в критически важных областях бизнеса» - заявляет он. «Поскольку исторически сложилось так, что на нее не было направлено много угроз, элементы управления безопасностью могут отсутствовать или не быть включены должным образом для ее защиты».
Защита сред Linux.
По словам исследователей, администраторы Linux должны, прежде всего, следовать стандартной передовой практике безопасности для защиты своих систем, например, поддерживать системы в актуальном состоянии, минимизировать права доступа и проводить регулярное сканирование на уязвимости.
Майк Паркин, старший технический инженер компании Vulcan Cyber, говорит, что при оценке рисков и управлении исправлениями важно отметить основные различия в использовании систем на базе Linux и Windows. Системы Linux - это, как правило, серверы, которые можно встретить как в локальных, так и в облачных сетях. Хотя существует множество Windows-серверов, настольных компьютеров под Windows гораздо больше, и именно они часто становятся мишенью для атак, а серверы затем подвергаются взлому с начальной точки входа.
Кроме того, осведомленность пользователей Linux о социальной инженерии должна быть в центре внимания организации.
«Системные администраторы Linux, надеюсь, менее склонны к типичным фишинговым атакам и атакам социальной инженерии, чем население в целом» - азявляет Паркин. «Но стандартный совет применим - пользователи должны быть обучены и быть частью решения, а не дополнительной угрозой».
Клэй тем временем говорит, что первое, что необходимо сделать организациям, это провести инвентаризацию всех систем на базе Linux, которые у них используются, а затем рассмотреть возможность внедрения комплексного подхода к Linux-безопасности для защиты от различных угроз.
«В идеале это должно быть частью платформы кибербезопасности, на которой можно автоматически развертывать средства контроля безопасности по мере появления Linux-систем и моделировать средства контроля для систем на базе Windows» - сообщает он. «Убедитесь, что защита включает такие технологии, как машинное обучение, виртуальные патчи, контроль приложений, мониторинг целостности и анализ логов».
Источник: https://www.darkreading.com
