Linux es el sistema operativo más común en el cloud y, por ello, parte fundamental de la infraestructura digital, lo que le convierte cada vez más en puerta de acceso para quienes atacan los entornos multicloud. Los sistemas de defensa actuales contra el malware se centran principalmente en las amenazas a Windows, lo que deja a muchos despliegues de nubes públicas y privadas vulnerables frente a los ataques que tienen como objetivo las cargas de trabajo en Linux.
VMware ha publicado un informe sobre amenazas llamado «Malware en entornos multicloud Linux». Entre las principales conclusiones que detallan la forma en la que los ciberdelincuentes utilizan el malware para atacar los sistemas operativos basados en Linux destacan:
- El ransomware está evolucionando y pone su foco en las imágenes de host que se utilizan para activar las cargas de trabajo en entornos virtualizados.
- El 89% de los ataques de cryptojacking utilizan librerías relacionadas con XMRig.
- Más de la mitad de los usuarios de Cobalt Strike podrían ser ciberdelincuentes, o, al menos, utilizar Cobalt Strike de forma ilícita.
A medida que el malware dirigido a sistemas operativos Linux aumenta, tanto en volumen como en complejidad en medio de un contexto de amenazas que cambia constantemente, las empresas tienen que poder priorizar la detección de estas. En este informe la Unidad de Análisis de Amenazas de VMware (VMware TAU, por sus siglas en inglés) analiza las amenazas a los sistemas operativos Linux en entornos multicloud: ransomware, criptominería y herramientas de acceso remoto.
Siendo una de las principales filtraciones en las empresas, los ataques certeros de ransomware en un entorno cloud pueden tener consecuencias devastadoras. Los ataques de ransomware contra nubes pretenden, y a menudo se combinan con, la filtración de datos implementando un esquema de doble extorsión que mejora las probabilidades de completar dicho ataque. Recientemente se ha percibido que el ransomware basado en Linux está mutando para dirigirse a las imágenes de host utilizadas para activar las cargas de trabajo en entornos virtualizados. Los delincuentes buscan ahora los activos más valiosos en entornos cloud y así provocar el máximo daño posible al objetivo. Entre los ejemplos de estos nuevos ataques está la familia de ransomware Defray777, que cifró imágenes de host en servidores ESXi; y la familia de ransomware DarkSide, que paralizó las redes de Colonial Pipeline y provocó una escasez de gasolina en todo Estados Unidos.
Los ciberdelincuentes que buscan una recompensa monetaria instantánea suelen atacar las criptomonedas utilizando uno de estos enfoques: incluir la funcionalidad de robo de carteras en el malware, o monetizar los ciclos de CPU robados para minar criptodivisas con éxito en un ataque llamado cryptojacking. La mayoría de los ataques de criptojacking se centran en el minado de la moneda Monero (o XMR) y la VMware TAU descubrió que el 89% de los criptomineros utilizaban bibliotecas relacionadas con XMRig. Por eso, cuando se identifican bibliotecas y módulos específicos de XMRig en los binarios de Linux es probable que se trate de una prueba de comportamiento malicioso de criptominería. La VMware TAU también observó que la evasión de la defensa es la técnica más utilizada por los criptomineros basados en Linux. Desgraciadamente, y como los ataques de criptominería no interrumpen completamente las operaciones de los entornos cloud como el ransomware, son mucho más difíciles de detectar.
Para obtener el control y persistir en un entorno, los agresores buscan instalar un implante en un sistema comprometido que les dé el control parcial de la máquina. El malware, las webshells y las herramientas de acceso remoto (RAT, por sus siglas en inglés) pueden ser implantes utilizados por los agresores en un sistema comprometido que les permita el acceso remoto. Uno de los principales implantes utilizados por los agresores es Cobalt Strike, una herramienta comercial de pruebas de penetración, y su reciente variante Vermilion Strike basada en Linux. Dado que Cobalt Strike es una amenaza tan omnipresente en Windows, la expansión al sistema operativo Linux demuestra que los agresores quieren utilizar herramientas fácilmente disponibles que se dirijan a tantas plataformas como sea posible.
La VMware TAU descubrió más de 14.000 servidores activos de Cobalt Strike Team en Internet entre febrero de 2020 y noviembre de 2021. El porcentaje total de ID de clientes de Cobalt Strike crackeados y filtrados es del 56%, lo que significa que más de la mitad de los usuarios de Cobalt Strike pueden ser ciberdelincuentes, o al menos utilizar Cobalt Strike de forma ilícita. El hecho de que RATs como Cobalt Strike y Vermilion Strike se hayan convertido en una herramienta básica para los ciberdelincuentes supone una grave amenaza para las empresas.