Le succès continu des services Linux dans les industries de l’infrastructure numérique et du cloud au cours des dernières années a peint une cible sur son dos, a averti un nouveau rapport de VMware.
De plus, comme la plupart des solutions anti-malware et de cybersécurité se concentrent sur la protection des appareils Windows, Linux se retrouve sur une glace mince, alors que les acteurs de la menace prennent conscience de cette faille de sécurité et ciblent le logiciel plus que jamais.
Le rapport de VMware, basé sur le Big Data en temps réel, le traitement des flux d’événements, les analyses statiques, dynamiques et comportementales et les données d’apprentissage automatique, affirme que les ransomwares ont évolué pour cibler les images hôtes utilisées pour faire tourner les charges de travail dans les environnements virtualisés.
Ransomware, cryptominage, Cobalt Strike
Les attaquants recherchent désormais les actifs les plus précieux dans le cloud, explique VMware, mentionnant Defray777 comme la famille de ransomwares qui chiffre les images hôtes sur les serveurs ESXi, ainsi que la famille de ransomwares DarkSide qui était à l’origine de l’attaque Colonial Pipeline.
De plus, l’infrastructure multi-cloud est souvent utilisée de manière abusive pour extraire des crypto-monnaies pour les attaquants. Comme le cryptojacking, comme on appelle la méthode, ne perturbe pas complètement les opérations des environnements cloud comme le font les ransomwares, il est beaucoup plus difficile à détecter.
Pourtant, presque toutes (89 %) les attaques de cryptojacking utilisent des bibliothèques liées à XMRig. C’est pourquoi, lorsque des bibliothèques et des modules spécifiques à XMRig dans les binaires Linux sont identifiés, il s’agit très probablement d’un minage de chiffrement malveillant.
Il y a aussi le problème croissant de Cobalt Strike et Vermilion Strike, des tests de pénétration commerciaux et des outils d’équipe rouge pour Windows et Linux.
Même s’ils ne sont pas conçus pour être malveillants, ils peuvent être utilisés comme implant sur un système compromis qui donne aux acteurs malveillants un contrôle partiel de la machine. VMware a découvert plus de 14 000 serveurs Cobalt Strike Team actifs sur Internet, entre février 2020 et novembre 2021.
Le fait que le pourcentage total d’identifiants clients Cobalt Strike fissurés et divulgués soit de 56 % conduit VMware à conclure que plus de la moitié des utilisateurs de Cobalt Strike pourraient être des cybercriminels.
Pour faire face à cette menace croissante, selon le rapport, les organisations doivent «accorder une plus grande priorité» à la détection des menaces.