Monday, 21 February 2022

Cybercriminals Target Linux-based Systems with Ransomware and Cryptojacking Attacks

 

 

VMware report finds more than half of Cobalt Strike users are using the tool illicitly

 

Giovanni Vigna_VMware

 

PALO ALTO, Calif. – February 21, 2022 – As the most common cloud operating system, Linux is a core part of digital infrastructure and is quickly becoming an attacker’s ticket into a multi-cloud environment. Current malware countermeasures are mostly focused on addressing Windows-based threats, leaving many public and private cloud deployments vulnerable to attacks that target Linux-based workloads.

 

VMware, Inc. (NYSE: VMW) has released a threat report titled “Exposing Malware in Linux-Based Multi-Cloud Environments.”(1) Key findings that detail how cybercriminals are using malware to target Linux-based operating systems include:

 

  • Ransomware is evolving to target host images used to spin workloads in virtualized environments;
  • 89 percent of cryptojacking attacks use XMRig-related libraries; and
  • More than half of Cobalt Strike users may be cybercriminals, or at least using Cobalt Strike illicitly.

 

“Cybercriminals are dramatically expanding their scope and adding malware that targets Linux-based operating systems to their attack toolkit in order to maximize their impact with as little effort as possible,” said Giovanni Vigna, senior director of threat intelligence at VMware. “Rather than infecting an endpoint and then navigating to a higher value target, cybercriminals have discovered that compromising a single server can deliver the massive payoff and access they’re looking for. Attackers view both public and private clouds as high-value targets due to the access they provide to critical infrastructure services and confidential data. Unfortunately, current malware countermeasures are mostly focused on addressing Windows-based threats, leaving many public and private cloud deployments vulnerable to attacks on Linux-based operating systems.”

 

As malware targeting Linux-based operating systems increases in both volume and complexity amid a rapidly changing threat landscape, organizations must place a greater priority on threat detection.

 

In this report, the VMware Threat Analysis Unit (TAU) analyzed the threats to Linux-based operating systems in multi-cloud environments: ransomware, cryptominers, and remote access tools.

 


ازدياد وتيرة هجمات طلب الفدية وتعدين العملات المشفرة التي تستهدف بيئات الحوسبة السحابية العاملة بنظام لينوكس

 

تقرير «في إم وير» يكشف تعرض أداة الحماية الإلكترونية "كوبالت سترايك" الشهيرة للاستغلال في أنشطة غير مشروعة على يد أكثر من نصف مستخدميها

 

دبي، الإمارات العربية المتحدة –21 فبراير 2022: نشرت شركة «في إم وير» (رمزها VMW في بورصة نيويورك)، اليوم نتائج تقريرها عن التهديدات الإلكترونية تحت عنوان "كشف أنشطة برمجيات الفدية في بيئات السحابة المتعددة العاملة بنظام لينوكس". وسلط التقرير الضوء على الأساليب التي ينتهجها المجرمون الإلكترونيون لنشر البرمجيات الخبيثة ضمن الأنظمة السحابية القائمة على نظام لينوكس Linux بغية سرقة مواردها وابتزاز القائمين عليها وتعدين العملات المشفرة.

 

ويعتبر نظام لينوكس العصب الأساسي لتشغيل البنى التحتية الرقمية ويشيع استخدامه بكثرة في إدارة أنظمة الحوسبة السحابية، ولذلك فقد أصبح هذا النظام المستهدف الأول بالهجمات الإلكترونية الرامية إلى اختراق الأنظمة السحابية، سيما أن غالبية تدابير مكافحة البرمجيات الخبيثة في الوقت الراهن تركز على التهديدات الإلكترونية ضد أنظمة التشغيل ويندوز، الأمر الذي يترك الكثير من أنظمة الحوسبة السحابية الخاصة والعامة معرضة للهجمات الإلكترونية التي تسعى إلى سرقة موارد الحوسبة التي يديرها نظام لينوكس.

 

وجاء من أبرز نتائج التقرير عن الهجمات الإلكترونية ضد الأنظمة السحابية العاملة بنظام لينوكس:

  • تطور أسلوب عمل برمجيات الفدية واستهدافها لقوالب الأنظمة المضيفة التي تشرف بدورها على إدارة موارد الحوسبة في البيئات الافتراضية.
  • اعتماد 89 بالمئة من الهجمات الخبيثة لتعدين العملات المشفرة على مكتبات برامجية تابعة لنظام التعدين المفتوح "إكس إم ريج" XMRig.
  • أكثر من نصف مستخدمي أداة الحماية والاختبارات الأمنية الشهيرة "كوبالت سترايك" Cobalt Strike قد يكونون من المجرمين الإلكترونيين أو ممن يستغلونها لأغراض غير مشروعة بأقل تقدير.

 

وبهذه المناسبة، قال جيوفاني فيجنا، كبير مدراء معلومات التهديدات الإلكترونية لدى «في إم وير»: "يعمل المجرمون الإلكترونيون على توسيع نطاق أهدافهم بشكل كبير، مستغلين في الوقت ذاته برمجيات خبيثة متطورة قادرة على استهداف أنظمة التشغيل العاملة بنظام لينوكس، سعيا إلى تحقيق أكبر قدر من التأثير وبأقل جهد ممكن".

 

وأشار جيوفاني إلى التكتيكات الجديدة المتبعة في الهجمات ضد أنظمة الحوسبة السحابية وقال: "بدلا من قيامهم باختراق نقطة نهائية ومن ثم البحث عن هدف عالي القيمة، وجد المجرمون الإلكترونيون بأن اختراق نظام خادم واحد يستطيع أن يقدم المردود الكبير والنفاذ الواسع الذي يسعون إليه بالأصل، وأصبحوا ينظرون إلى بيئات السحابة العامة والخاصة باعتبارها أهداف عالية القيمة لما توفره من قدرة على النفاذ إلى الخدمات الحيوية في البنى التحتية والبيانات المحاطة بالسرية. وللأسف فإن تدابير مكافحة البرمجيات الخبيثة تركز بمعظمها على التهديدات التي تطال أنظمة ويندوز، تاركة الكثير من أنظمة السحابة العامة والخاصة المنتشرة عرضة للهجمات التي تستهدف أنظمة التشغيل القائمة على نظام لينوكس".

 

وفي ضوء ازدياد وتيرة هجمات برمجيات الفدية وتعقيداتها ضد أنظمة التشغيل القائمة على نظام لينوكس، يتوجب على الشركات إعطاء أولوية كبيرة للوسائل التي تستطيع كشف التهديدات الأمنية الإلكترونية.

 

وقد قامت وحدة تحليل التهديدات لدى شركة «في إم وير» بإجراء تحليل شامل للتهديدات الإلكترونية التي تستهدف أنظمة التشغيل لينوكس ضمن بيئات الحوسبة السحابية المتعددة، وهي برمجيات طلب الفدية وبرمجيات تعدين العملات المشفرة وأدوات النفاذ إلى الأنظمة عن بُعد.

 

يمكن تحميل التقرير الكامل من هذا الرابط.

=