top of page

Operateri ransomwarea proširuju područje napada na Linux i šire

Operateri ransomwarea sve više proširuju svoj doseg u različite komponente moderne IT infrastrukture: od NAS pohrane, preko radnih stanica do poslužitelja i virtualizacijskih sustava, pa sve do okruženja u oblaku. Naravno, Microsoft Windows je do sada bio glavna meta zbog svoje popularnosti i mnogih mogućnosti za lateralno kretanje po mreži.


Ali to se brzo mijenja: prema Trend Microvom "Polugodišnjem izvješću o kibernetičkoj sigurnosti za 2022.", zlonamjerni akteri također proširuju doseg napada ciljajući jedan od najmoćnijih operativnih sustava koji se koristi u platformama u oblaku i poslužiteljima širom svijeta – Linux. Trend Micro primjećuje porast od 75% u napadima ransomware-a temeljenim na Linuxu u prvoj polovici 2022. u usporedbi s 2021., što sugerira da Linux sustavi postaju glavna meta operatera ransomware-as-a-service.


VMware hipervizor ESXi također je imao tešku prvu polovicu 2022. Ove je godine Trend Micro otkrio novu varijantu ransomwarea, nazvanu Cheerscrypt koja cilja na ESXi poslužitelje i koristi popularnu taktiku dvostrukog iznuđivanja u kojoj akteri eksfiltriraju podatke prije enkripcije mreže i zatim prijete curenjem ukradenih podataka tijekom pregovora.


ESXi poslužitelji su popularni i često im se otkrije ranjivost, zbog čega su učestala meta. Kako organizacije koriste ESXi za ugošćavanje više virtualnih strojeva (VM), učinak uspješnog napada na virtualizacijsku infrastrukturu može nanijeti veliku štetu organizaciji.


Osim tradicionalnih poslužitelja i virtualizacije, Trend Micro također ukazuje na sve veće iskorištavanje okruženja u oblaku. Usluge tuneliranja u oblaku kao što je ngrok, mogu se koristiti u legitimne svrhe za brzo objavljivanje lokalnog on-prem servisa na internetu, bez mijenjanja mrežne infrastrukture ili otvaranja dolaznih portova.

Postoji mnogo zlonamjernih načina na koje se te usluge mogu iskoristiti za pristup i lateralno kretanje po mreži, osobito ako izložene usluge koriste protokole kao što je Microsoft SMB, koji nisu dizajnirani za izlaganje na internetu.


Kako usluge u oblaku postaju sve složenije i popularnije, vjerojatnije je da će doći do pogrešaka u konfiguraciji. To znači da će pogrešne konfiguracije različitih servisa u javnom oblaku biti fokus aktera prijetnji. Opet, tipičan pokazatelj je nenamjerna izloženost određenog porta na internetu. Ovdje izvješće sadrži zanimljivu analizu kubelet API-a na Kubernetes klasterima koji su izloženi on-line u različitim javnim oblacima (od Azure do AWS), a napadačima mogu omogućiti instalaciju i pokretanje programa putem ovog API-ja.


Pročitajte cijelo izvješće ovdje: Trend Micro 2022 Midyear Cybersecurity Report

Comments


Latest news

bottom of page