Operateri ransomware-a proširuju mjesto napada na Linux i šire
Operateri ransomware-a sve više proširuju svoj domet u različite komponente moderne IT infrastrukture: od NAS skladišta preko radnih stanica do servera i sistema virtuelizacije, pa sve do okruženja u oblaku. Naravno, Microsoft Windows je do sada bio glavna meta zbog svoje popularnosti i mnogih mogućnosti za lateralno kretanje po mreži.
Ali to se brzo mijenja: prema Trend Micro-ovom "Polugodišnjem izvještaju o kibernetičkoj sigurnosti za 2022.", zlonamjerni akteri također proširuju domet napada ciljajući jedan od najmoćnijih operativnih sistema koji se koristi u platformama u oblaku i poslužiteljima širom svijeta – Linux. Trend Micro bilježi povećanje od 75% u napadima ransomware-a baziranim na Linuxu u prvoj polovici 2022. u odnosu na 2021., što sugerira da Linux sistemi postaju glavna meta operatera ransomware-as-a-service.
VMware hipervizor ESXi također je imao tešku prvu polovicu 2022. Ove je godine Trend Micro otkrio novu varijantu ransomwarea, nazvanu Cheerscrypt koja cilja na ESXi servere i koristi popularnu taktiku dvostrukog iznuđivanja u kojoj akteri eksfiltriraju podatke prije enkripcije mreže i zatim prijete curenjem ukradenih podataka tokom pregovora.
ESXi poslužitelji su popularni i često izloženi ranjivostima, što ih čini popularnom metom. Kako organizacije koriste ESXi za hostovanje više virtualnih mašina (VM), uticaj uspešnog napada na infrastrukturu virtuelizacije može prouzrokovati značajnu štetu organizaciji.
Pored tradicionalnih servera i virtuelizacije, Trend Micro također ukazuje na sve veću upotrebu okruženja u oblaku. Usluge tuneliranja u oblaku kao što je ngrok mogu se koristiti u legitimne svrhe za brzo objavljivanje lokalne on-prem usluge putem Interneta, bez mijenjanja mrežne infrastrukture ili otvaranja ulaznih portova.
Postoji mnogo zlonamjernih načina na koje se ovi servisi mogu iskoristiti za pristup i lateralno kretanje po mreži, posebno ako izložene usluge koriste protokole kao što je Microsoft SMB, koji nisu dizajnirani za izlaganje Internetu.
Kako usluge u oblaku postaju složenije i popularnije, veća je vjerovatnoća da će doći do pogreške u konfiguraciji. To znači da će pogrešna konfiguracija oblaka biti u fokusu aktera prijetnji. Opet, tipičan indikator je nenamjerno izlaganje usluga Internetu. Ovdje izvještaj sadrži zanimljivu analizu kubelet API-a na Kubernetes klasterima koji su izloženi online u različitim javnim oblacima (od Azure do AWS), a napadačima mogu dozvoliti instalaciju i pokretanje programa preko ovog API-ja.
Pročitajte cijeli izvještaj ovdje: Trend Micro 2022 Midyear Cybersecurity Report
