Operateri ransomware-a proširuju svoju lokaciju za napade na Linux i šire

Operateri ransomware-a sve više proširuju svoj domet u različite komponente moderne IT infrastrukture: od NAS skladišta preko radnih stanica do servera i sistema virtuelizacije, pa sve do okruženja u oblaku. Naravno, Microsoft Windows je do sada bio glavna meta zbog svoje popularnosti i mnogih mogućnosti za lateralno kretanje po mreži.

Ali to se brzo menja: prema Trend Micro-ovom "Polugodišnjem izveštaju o kibernetičkoj bezbednosti za 2022.", zlonamerni akteri takođe proširuju domet napada ciljajući jedan od najmoćnijih operativnih sistema koji se koristi u platformama u oblaku i poslužiteljima širom sveta – Linux. Trend Micro primećuje povećanje od 75% napada ransomware-a baziranih na Linuxu u prvoj polovici 2022. u poređenju sa 2021., što sugeriše da Linux sistemi postaju glavna meta operatera ransomware-as-a-service.

VMware hipervizor ESXi takođe je imao tešku prvu polovinu 2022. Ove godine Trend Micro je otkrio novu varijantu ransomware-a, pod nazivom Cheerscrypt koja cilja na ESXi servere i koristi popularnu taktiku dvostruke iznude u kojoj akteri eksfiltriraju podatke pre enkripcije mreže i zatim prete curenjem ukradenih podataka tokom pregovora.

ESXi serveri su popularni i često izloženi ranjivostima, što ih čini dobrom metom. Kako organizacije koriste ESXi za hostovanje više virtuelnih mašina (VM), uticaj uspešnog napada na infrastrukturu virtuelizacije može da izazove značajnu štetu organizaciji.

Pored tradicionalnih servera i virtuelizacije, Trend Micro takođe ukazuje na sve veću upotrebu okruženja u oblaku. Usluge tuneliranja u oblaku kao što je ngrok mogu se koristiti u legitimne svrhe za brzo objavljivanje lokalne on-prem usluge preko Interneta, bez promene mrežne infrastrukture ili otvaranja ulaznih portova.

Postoji mnogo zlonamernih načina na koje se ove usluge mogu iskoristiti za pristup i lateralno kretanje po mreži, posebno ako izložene usluge koriste protokole kao što je Microsoft SMB, koji nisu dizajnirani za izlaganje Internetu.

Kako usluge u oblaku postaju složenije i popularnije, veća je verovatnoća da će doći do grešaka u konfiguraciji. To znači da će pogrešna konfiguracija oblaka biti u fokusu aktera pretnji. Opet, tipičan indikator je nenamerno izlaganje usluga Internetu. Ovde izveštaj sadrži zanimljivu analizu kubelet API-a na Kubernetes klasterima koji su izloženi online u različitim javnim oblacima (od Azure do AWS), a napadačima mogu dozvoliti instalaciju i pokretanje programa preko ovog API-ja.

Pročitajte celi izveštaj ovdje: Trend Micro 2022 Midyear Cybersecurity Report