VMware: Zo nemen aanvallers Linux over

Waarschuwing

Aanvallen op Linux-systemen nemen zowel in volume als complexiteit toe. Criminelen gebruiken kwetsbaarheden vooral voor ransomware-aanvallen, cryptominers en toegang op afstand. Beveiligingsonderzoekers van Vmware delen in een nieuw rapport de meest voorkomende methoden die kwaadwillenden gebruiken en roepen op om die dreigingen serieus te nemen om schade te voorkomen.

In het onderzoeksrapport Exposing Malware in Linux-Based Multi-Cloud Environments staat uitgelegd hoe cybercriminelen malware gebruiken om Linux-gebaseerde besturingssystemen aan te vallen.

Een belangrijke bevinding uit het rapport is dat ransomware zich steeds vaker richt op host images die worden gebruikt om workloads in gevirtualiseerde omgevingen te draaien. Verder blijkt dat 89 procent van de cryptojacking-aanvallen gebruik maakt van XMRig-gerelateerde libraries. Ook zien de onderzoekers van VMware een toename van de inzet van systemen voor penetratietests en hulp op afstand, zoals de simulatietool Cobalt Strike. Vaak worden illegale accounts aangemaakt om systemen binnen te dringen.

‘In plaats van een endpoint te infecteren en daarna naar een hoogwaardig target te navigeren, hebben cybercriminelen ontdekt dat het compromitteren van een enkele server een enorme winst kan opleveren. Op deze manier krijgen ze ook de toegang waarnaar ze op zoek zijn’, stelt hoofd dreigingsinformatie Giovanni Vigna.

Hij ziet dat de huidige maatregelen tegen malware vooral gericht zijn op Windows-gebaseerde dreigingen. Publieke en private clouds blijven daardoor kwetsbaar voor aanvallen op Linux-systemen. Zeker nu aanvallers publieke en private clouds zien als waardevolle doelwitten doordat deze toegang bieden tot essentiële infrastructuur-diensten en vertrouwelijke data.

Ransomware

"XMRig-gerelateerde libraries zijn vaak een aanwijzing voor cryptojacking"

Ransomware voor Linux richt zich ook steeds meer op host images die worden gebruikt om workloads in gevirtualiseerde omgevingen te draaien. Vmware: ‘Criminelen zijn op zoek naar de meest waardevolle assets in cloudomgevingen om het doelwit maximale schade toe te brengen.’ Als voorbeelden noemen de onderzoekers de Defray777-variant, die host images op ESXi-servers versleutelde, en de DarkSide-variant. Die laatste legde de netwerken van Colonial Pipeline lam en veroorzaakte een benzinetekort in de VS.

Cybercriminelen die voor snel financieel gewin gaan, richten zich vaak op cryptovaluta en gebruiken daarbij twee veelvoorkomende methoden. Ze nemen functionaliteit voor het stelen van wallets op in malware of ze maken, in een aanval die cryptojacking wordt genoemd, gebruik van gestolen cpu-cycli om cryptovaluta te minen.

VMware ziet dat de meeste cryptojacking-aanvallen gericht zijn op het minen van de Monero-valuta. Het bedrijf ontdekte dat 89 procent van de cryptominers XMRig-gerelateerde libraries gebruikte. Als deze libraries en modules in Linux-binaries worden geïdentificeerd, is dat waarschijnlijk een bewijs van kwaadaardige cryptomining. De onderzoekers waarschuwen dat cryptojacking moeilijker op te sporen is doordat een aanval de werking van cloudomgevingen niet volledig verstoort. Bij ransomware of ddos is dat vaak wel het geval.

Cobalt Strike

Om controle te krijgen en binnen één omgeving te blijven, proberen aanvallers software op een gecompromitteerd systeem te installeren dat hen gedeeltelijke controle over de machine geeft. ‘Malware, webshells en remote access tools (rat's) kunnen door deze criminelen gebruikt worden om toegang op afstand in een aangetast systeem mogelijk te maken,' aldus het VMware-rapport.

Tools die aanvallers onder meer gebruiken zijn de simulatietools Cobalt Strike en de recente op Linux-gebaseerde variant Vermilion Strike. Dat zijn commerciële tools voor penetratietests die bij beveiligingstests door 'red teams' als hulpmiddel worden gebruikt. VMware ontdekte tussen februari 2020 en november 2021 meer dan 14.000 actieve Cobalt Strike Team-servers op het internet. Het totale percentage gekraakte en gelekte klant-id's van Cobalt Strike ligt op 56 procent. Meer dan de helft van de Cobalt Strike-gebruikers bestaat dus mogelijk uit cybercriminelen of individuen die deze software illegaal gebruiken, waarschuwt VMware.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-02-10T15:02:00.000Z Pim van der Beek
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.