VMware’den yeni bir rapora göre, Linux hizmetlerinin son birkaç yılda dijital altyapı ve bulut endüstrilerinde devam eden başarısı, sırtına bir hedef çizdi.
Dahası, çoğu kötü amaçlı yazılımdan koruma ve siber güvenlik çözümleri Windows tabanlı cihazları korumaya odaklandığından, tehdit aktörleri bu güvenlik boşluğunun farkına vardıkça ve yazılımı her zamankinden daha fazla hedefledikçe Linux kendini ince bir buz üzerinde buluyor.
VMware’in gerçek zamanlı büyük verilere, olay akışı işlemeye, statik, dinamik ve davranışsal analitiklere ve makine öğrenimi verilerine dayanan raporu, fidye yazılımlarının sanallaştırılmış ortamlarda iş yüklerini döndürmek için kullanılan ana bilgisayar görüntülerini hedeflemek için geliştiğini iddia ediyor.
Fidye yazılımı, kripto madenciliği, Kobalt Saldırısı
Saldırganlar artık buluttaki en değerli varlıkları arıyorlar, diyor VMware, Defray777’yi ESXi sunucularındaki ana bilgisayar görüntülerini şifreleyen fidye yazılımı ailesi ve Colonial Pipeline saldırısının arkasındaki DarkSide fidye yazılımı ailesi olarak belirtiyor.
Ayrıca, çoklu bulut altyapısı genellikle saldırganlar için kripto para madenciliği yapmak için kötüye kullanılır. Cryptojacking adı verilen yöntem, fidye yazılımlarının yaptığı gibi bulut ortamlarının işleyişini tamamen bozmadığı için tespit edilmesi çok daha zordur.
Yine de, kripto hırsızlığı saldırılarının neredeyse tamamı (%89) XMRig ile ilgili kitaplıkları kullanır. Bu nedenle, Linux ikili dosyalarındaki XMRig’e özgü kitaplıklar ve modüller tanımlandığında, büyük olasılıkla kötü amaçlı kripto madenciliğidir.
Ayrıca, Windows ve Linux için Cobalt Strike ve Vermilion Strike, ticari sızma testi ve kırmızı ekip araçları gibi büyüyen bir sorun var.
Kötü niyetli olacak şekilde tasarlanmasalar da, kötü niyetli aktörlere makinenin kısmi kontrolünü veren, güvenliği ihlal edilmiş bir sistemde bir implant olarak kullanılabilirler. VMware, Şubat 2020 ile Kasım 2021 arasındaki dönemde internette 14.000’den fazla aktif Cobalt Strike Team Sunucusu keşfetti.
Kırık ve sızdırılmış Cobalt Strike müşteri kimliklerinin toplam yüzdesinin %56 olması, VMware’in Cobalt Strike kullanıcılarının yarısından fazlasının siber suçlu olabileceği sonucuna varmasına neden oluyor.
Raporda ayrıca, bu büyüyen tehdidin üstesinden gelmek için kuruluşların tehdit tespitine “daha fazla öncelik vermesi” gerektiği iddia ediliyor.