Der fortschreitende Erfolg von Linux-Diensten in der digitalen Infrastruktur- und Cloud-Branche in letzter Zeit bedeutete ein Ende, warnt ein neuer Bericht von VMware.
Da sich die meisten Anti-Malware- und Cybersicherheitslösungen außerdem auf den Schutz von Windows-Geräten konzentrieren, befindet sich Linux auf dünnem Eis, da Bedrohungsakteure auf diese Sicherheitslücke aufmerksam werden und die Software mehr denn je ins Visier nehmen.
Der Bericht von VMware, der auf Echtzeit-Big Data, Ereignisstromverarbeitung, statischen, aktiven und Verhaltensanalysen sowie Daten zum maschinellen Lernen basiert, behauptet, dass sich Ransomware weiterentwickelt hat, um Host-Images anzugreifen, die zum Ausführen von Arbeitslasten in virtualisierten Umgebungen verwendet werden.
Ransomware, Kryptowährung, Cobalt Strike
Angreifer zielen nun auf die wertvollsten Ressourcen in der Cloud ab, sagt VMware und nennt Defray777 als die Ransomware-Familie, die Host-Images auf ESXi-Servern verschlüsselt, sowie die DarkSide-Ransomware-Familie hinter dem Colonial Pipeline-Angriff.
Darüber hinaus wird die Multi-Cloud-Infrastruktur häufig missbraucht, um Kryptowährungen für Angreifer zu schürfen. Da Cryptojacking, wie das Verfahren genannt wird, den Betrieb von Cloud-Umgebungen nicht vollständig stört, wie dies bei Ransomware der Fall ist, ist es deutlich schwieriger zu erkennen.
Allerdings nutzen praktisch alle Kryptojacking-Angriffe (XNUMX %) XMRig-bezogene Bibliotheken. Wenn daher bestimmte XMRig-Bibliotheken und -Module in Linux-Binärdateien identifiziert werden, handelt es sich höchstwahrscheinlich um böswilliges Kryptomining.
Es gibt auch das wachsende Problem von Cobalt Strike und Vermilion Strike, kommerziellen Penetrationstests und den Tools des Colorado-Teams für Windows und Linux.
Obwohl sie nicht als Schadsoftware konzipiert sind, können sie als Implantat in ein kompromittiertes System eingesetzt werden, das böswilligen Akteuren eine teilweise Kontrolle über die Maschine ermöglicht. VMware hat zwischen Februar XNUMX und November XNUMX mehr als vierzehn aktive Server des Cobalt Strike Team im Internet entdeckt.
Die Tatsache, dass der Gesamtprozentsatz der geleakten und kompromittierten Anmeldeinformationen von Cobalt Strike-Clients XNUMX % beträgt, lässt VMware zu dem Schluss kommen, dass mehr als die Hälfte der Cobalt Strike-Benutzer möglicherweise Cyberkriminelle sind.
Um dieser wachsenden Bedrohung zu begegnen, heißt es in dem Bericht weiter, dass Unternehmen der Bedrohungserkennung „höhere Priorität einräumen“ müssen.