Connect with us

Technologie

Les clouds basés sur Linux ouvrent la porte aux attaquants, selon VMware

Published

on


Avec son statut de système d’exploitation cloud le plus courant cimenté sans aucun doute, Linux est devenu un élément central de l’infrastructure numérique organisationnelle dans le monde entier, mais il ouvre également de nouvelles voies d’attaque pour les acteurs malveillants, et l’industrie de la sécurité doit se dépêcher et devenir sage à cet égard.

C’est ce qui ressort d’un rapport récemment publié par l’unité d’analyse des menaces (TAU) de VMware, qui détaille comment les acteurs malveillants utilisent les logiciels malveillants pour cibler les systèmes d’exploitation basés sur Linux. Dans le rapport, Exposition de logiciels malveillants dans des environnements multicloud basés sur Linux, il a montré comment les contre-mesures actuelles sont toujours fortement axées sur la lutte contre les menaces basées sur Windows, avec pour effet ultime que de nombreux déploiements de cloud public et privé sont vulnérables à des attaques qui seraient autrement faciles à arrêter.

« Les cybercriminels élargissent considérablement leur portée et ajoutent des logiciels malveillants qui ciblent les systèmes d’exploitation linux à leur boîte à outils d’attaque afin de maximiser leur impact avec le moins d’effort possible », a déclaré Giovanni Vigna, directeur principal de la veille sur les menaces chez VMware.

« Plutôt que d’infecter un point de terminaison et de naviguer ensuite vers une cible de plus grande valeur, les cybercriminels ont découvert que la compromission d’un seul serveur peut offrir le gain et l’accès massifs qu’ils recherchent. Les attaquants considèrent les clouds publics et privés comme des cibles de grande valeur en raison de l’accès qu’ils fournissent aux services d’infrastructure critiques et aux données confidentielles.

« Malheureusement, les logiciels malveillants actuels se concentrent principalement sur la lutte contre les menaces basées sur Windows, laissant de nombreux déploiements de cloud public et privé vulnérables aux attaques sur les systèmes d’exploitation basés sur Linux. »

En compilant son rapport, le TAU a analysé les plus grandes menaces pour les systèmes d’exploitation Linux dans les environnements multicloud – ransomware, cryptomineurs et outils d’accès à distance.

Les attaques de ransomware réussies dans les environnements cloud peuvent être particulièrement dévastatrices, en particulier lorsqu’elles sont combinées à des techniques d’extorsion double et maintenant triple, a déclaré VMware.

Le rapport a révélé des preuves de nouveaux développements dans les ransomwares basés sur Linux, qui sont maintenant capables de cibler les images hôtes utilisées pour faire tourner les charges de travail dans les environnements virtualisés. Des exemples de ceux-ci incluent la famille de ransomwares DarkSide et Defray777, qui crypte les images hôtes sur les serveurs ESXi.

VMware a déclaré que c’était un signe clair que les attaquants ont compris qu’ils devaient frapper des actifs plus précieux dans un environnement cloud.

Le cryptomining peut raisonnablement être considéré comme une menace moins impactante pour les environnements cloud que les ransomwares, et il est certainement vrai qu’il ne perturbe pas complètement les environnements cloud de la même manière – et peut donc être plus difficile à détecter.

C’est quelque chose que les acteurs malveillants peuvent utiliser à leur avantage, en ciblant une récompense rapide avec l’une des deux approches suivantes : ils incluront généralement soit une fonctionnalité de vol de portefeuille cryptographique dans les logiciels malveillants, soit monétisent les cycles de processeur volés pour extraire des crypto-monnaies, principalement axées sur Monero (XMR).

VMware a déclaré que 89% des cryptomineurs utilisent des bibliothèques liées à XMRig, donc si ces bibliothèques ou modules sont identifiés dans des binaires Linux, cela peut généralement être considéré comme une preuve qu’un environnement a été détourné.

Les variantes de Cobalt Strike vont également dominer Linux

L’outil et le framework de test d’intrusion Cobalt Strike ont longtemps été l’outil de choix de l’attaquant lors du ciblage des environnements Windows, mais l’année dernière, il est apparu qu’une version d’ingénierie inverse – baptisée Vermilion Strike – avait été trouvée ciblant Linux, et il semble maintenant qu’ici aussi, elle devienne une option privilégiée pour les acteurs malveillants.

VMware a déclaré avoir trouvé plus de 14 000 serveurs actifs de l’équipe Cobalt Strike sur Internet entre février 2020 et novembre 2021, avec un pourcentage total d’identifiants clients Cobalt Strike fissurés et divulgués s’élevant à 56%, ce qui suggère que la majorité des utilisateurs de Cobalt Strike sont soit des cybercriminels, soit l’utilisent illégalement.

« Depuis que nous avons mené notre analyse, encore plus de familles de ransomwares ont été observées gravitant autour de logiciels malveillants basés sur Linux, avec le potentiel d’attaques supplémentaires qui pourraient tirer parti des vulnérabilités Log4j », a déclaré Brian Baskin, responsable de la recherche sur les menaces chez VMware.

« Les résultats de ce rapport peuvent être utilisés pour mieux comprendre la nature des logiciels malveillants basés sur Linux et atténuer la menace croissante que les ransomwares, le cryptomining et les RAT ont sur les environnements multicloud.

« Alors que les attaques ciblant le cloud continuent d’évoluer, les entreprises doivent adopter une approche zero-trust pour intégrer la sécurité dans l’ensemble de leur infrastructure et traiter systématiquement les vecteurs de menace qui composent leur surface d’attaque. »

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance