web analytics

Report VMware: gli attacchi contro sistemi Linux sono in continuo aumento

linux exposing malware multi cloud env

La VMware Threat Analysis Unit, ufficio di VMware dedicato all’analisi di minacce informatiche, ha prodotto un report dal titolo Exposing Malware in Linux-based Multi-Cloud Environments. In questo articolo cerco di riportarvi i passaggi più interessanti che emergono dall’analisi di VMware, lunga ben 43 pagine.

Linux è ovunque e fa gola ai cybercriminali

Il documento inizia riportando un dato molto interessante.

Negli ultimi cinque anni, Linux è diventato il sistema più comune in ambienti multi-cloud. Ha persino fatto meglio di Microsoft Azure e attualmente alimenta il 78% dei più popolari siti web. I malintenzionati se ne sono accorti e prendono sempre più di mira sistemi vulnerabili basati su Linux in ambienti multi-cloud per infiltrarsi in reti aziendali e governative.

Queste minacce sfruttano l’autenticazione debole, le vulnerabilità e le configurazioni errate nelle infrastrutture basate su container per infiltrarsi negli ambienti da remoto mediante appositi tool (RATs) con l’obiettivo di eseguire ransomware o attivare cryptominer.

RATs, Cryptominer e Ransomware

Con RAT si fa riferimento ad un Trojan con accesso remoto, cioè un malware che include una backdoor per il controllo di un sistema. Una volta che il sistema host è stato compromesso, l’intruso può usarlo per distribuire RAT ad altri computer vulnerabili creando così una botnet utile ai propri scopi, che spesso contemplano la diffusione di cryptominer o di ransomware. Uno dei RAT più noti è stato chiamato Cobalt Strike. Inizialmente colpiva Windows, ora è in espansione anche su Linux. La VMware Threat Analysis Unit ha scoperto oltre 14’000 server compromessi da 2 anni a questa parte.

vmware analysis linux
Schema d’attacco.

Quando viene installato un cryptominer su un server questo instaura un collegamento con una mining pool e sfrutta la potenza computazionale del PC per minare criptovalute, tendenzialmente Monero (XMR). Ci sono indirizzi associati ad attività fraudolente attivi dal 2020 che continuano a ricevere XMR. Ciò dimostra quanto sia difficile sradicare queste minacce.

Anche i ransomware stanno diventando sempre più sofisticati e gli attacchi sono mirati. Spesso si verifica anche un data breach secondo uno scherma di doppia estorsione che migliora le probabilità di successo dei cybercriminali. Tra i vari prodotti disponibili, ormai si parla di Ransomware As A Service, vengono citati REvil, DarkSide, BlackMatter e Defray777.

Per proteggere le proprie infrastrutture da questi attacchi valgono i soliti consigli. Eseguire in modo puntuale gli aggiornamenti di sicurezza ed effettuare un monitoraggio continuo.

Le aziende devono pensare alla sicurezza come a una componente fondamentale in un’impresa moderna[…] Un ambiente multi-cloud sicuro richiede la messa in sicurezza di tutto il lavoro e delle comunicazioni tra i vari sistemi cloud.

queste le conslusioni del report che potete consultare cliccando qui.

sharing-caring-1Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.