Informe de amenazas de VMware – Exposición de Malware en Entornos Multi-Nube Basados en Linux
Un nuevo informe realizado por la Unidad de Análisis de Amenazas de VMware examina de manera integral los tipos de ataques que a menudo aprovechan los adversarios una vez están en su entorno de nube objetivo: ejecutan ransomware, implementan componentes de criptominería y RATs.
En los últimos cinco años, Linux se ha convertido en el sistema operativo (SO) más común en entornos de multi-nube y funciona en más del 78% de los sitios web más populares. Los actores maliciosos se han dado cuenta y se dirigen cada vez más a los sistemas vulnerables basados en Linux en entornos de multi-nube para infiltrarse en las redes corporativas y gubernamentales. Estas amenazas aprovechan la autenticación débil, las vulnerabilidades y las configuraciones incorrectas en las infraestructuras basadas en contenedores para infiltrarse en el entorno con herramientas de acceso remoto (RATs por sus siglas en inglés). Una vez que los atacantes se han afianzado en su entorno de nube objetivo, a menudo buscan realizar dos tipos de ataques: ejecutar ransomware o implementar componentes de criptominería.
Los hallazgos clave incluyen:
- El malware dirigido a sistemas basados en Linux se está convirtiendo rápidamente en el camino de un atacante hacia entornos multi-nube de alto valor. Linux es el sistema operativo más común en entornos de multi-nube, ya que el 78% de los sitios web más populares funcionan con Linux, lo que aumenta su volumen y complejidad.
- El ransomware dirigido a sistemas basados en Linux se está volviendo más sofisticado. Las principales amenazas en la mayoría de los entornos de multi-nube son el ransomware, el cryptojacking y las herramientas de acceso remoto. Sin embargo, el ransomware dirigido a sistemas basados en Linux ha evolucionado recientemente para apuntar a imágenes de host y requiere análisis dinámico y monitoreo de host.
- La criptomoneda Monero (XMR) es la moneda digital extraída ilícitamente más popular de los crecientes ataques de cryptojacking en sistemas basados en Linux. Los ataques de cryptojacking se centran en monetizar los ciclos de CPU robados para extraer criptomonedas y el 89 por ciento de los criptomineros utilizaron bibliotecas relacionadas con XMRig.
- Las herramientas de acceso remoto (RATs) son una amenaza creciente. El equipo de investigación descubrió más de 14,000 activos de servidores de equipo de Cobalt Strike en Internet desde febrero de 2020. El porcentaje total de identificaciones de clientes de Cobalt Strike descifradas o filtradas es del 56 por ciento. Esto significa que más de la mitad de los usuarios de Cobalt Strike utilizan versiones del software comercial obtenidas ilegítimamente.
Ransomware
Los ataques de ransomware pueden variar desde ser un dolor de cabeza (restaurar datos de copias de seguridad y limpiar la red), hasta ser completamente devastadores (tener que pagar grandes sumas de dinero para recuperar activos clave). De hecho, estos ataques se han vuelto tan populares que incluso los ciberdelincuentes no técnicos pueden ejecutar estos ataques con éxito.
Las características distintivas de los ataques de ransomware a gran escala incluyen implementaciones en la nube dirigidas y, a menudo, se combinan con la exfiltración de datos, lo que hace que sus ataques sean dobles. Los datos recopilados se utilizan como palanca para empujar a la víctima a pagar el rescate. Este informe analiza nueve familias de ransomware que tienen como objetivo los sistemas basados en Linux y caracterizan su evolución.
Criptomineros
No es ningún secreto que, en los últimos años, las criptomonedas han llamado la atención de los criptomineros sofisticados. Estos atacantes tienen una clara ventaja ya que sus actividades maliciosas se convierten inmediatamente en dinero (cibernético) sin necesidad de interactuar con las víctimas.
Los ciberdelincuentes utilizan principalmente dos enfoques aquí: una funcionalidad de robo de billetera en malware, que a veces se hace pasar por aplicaciones basadas en criptografía, o monetizar ciclos de CPU robados para minar criptomonedas con éxito, un ataque conocido como cryptojacking. Este informe analiza siete familias de criptomineros.
RATs
Uno de los aspectos más críticos de la actividad de un atacante es cómo compromete los sistemas para ganar persistencia y establecer un servidor de prueba. Las herramientas de acceso remoto (RATs) ayudan a los atacantes a establecer la persistencia, lo que les permite pivotar y apuntar a sistemas adicionales.
Este informe analiza seis herramientas de acceso remoto utilizadas por los actores de amenazas.
Mitigación de amenazas modernas
Las organizaciones deben pensar en la seguridad como una parte inherente y distribuida de la empresa moderna, que debe incorporarse en todos los aspectos del entorno. Cuando se trata de proteger entornos de multi-nube, comience con una visibilidad completa de todas las cargas de trabajo con un contexto detallado del sistema que facilita la comprensión y la priorización de los esfuerzos de mitigación. La información de todas las fuentes debe combinarse de una manera inteligente que agregue valor, al tiempo que permita compartir estos datos contextuales entre equipos para reducir los silos. La Unidad de análisis de amenazas de VMware explica en este informe que una defensa sólida incluye contraatacar con una combinación de enfoques, mecanismos y políticas. La solución de detección y respuesta de punto final (EDR por sus siglas en inglés) que monitorea las acciones realizadas por el proceso en las cargas de trabajo en la nube es una herramienta clave. Otra es una detección y respuesta de red (NDR por sus siglas en inglés), que puede reconocer evidencia de ataques basada en la red y bloquear el malware antes de que pueda apoderarse de su objetivo. Estas dos soluciones combinadas a menudo se denominan sistema XDR.
TECNASA le brinda seguridad como un servicio distribuido integrado en sus puntos de control de usuarios, dispositivos, cargas de trabajo y redes. Puede implementar Zero Trust con menos herramientas y silos, y escalar la respuesta con confianza, velocidad y precisión. Este informe de VMware le muestra cómo reducir su superficie de ataque, mitigar el riesgo de seguridad, garantizar el cumplimiento y simplificar las operaciones de seguridad.
Descargue el informe completo aquí.
Fuente: Blog de la Unidad de Análisis de Amenazas de VMware.