Le succès progressif des services Linux dans les industries de l'infrastructure numérique et du cloud ces derniers temps a marqué une fin sur son dos, prévient un nouveau rapport de VMware.
De plus, comme la plupart des solutions anti-malware et de cybersécurité se concentrent sur la protection des appareils Windows et Linux, c'est de retour sur une hache glaciale, alors que les acteurs de la menace prennent conscience de cette faille de sécurité et ciblent le logiciel plus que jamais
Basé sur le Big Data en temps réel, le traitement des flux d'événements, les analyses statiques, actives et comportementales et les données d'apprentissage automatique, le rapport VMware affirme que les ransomwares ont évolué pour cibler les images hôtes utilisées pour exécuter des charges de travail dans des environnements virtualisés.
Ransomware, cryptomining, Cobalt Strike
Les attaquants ciblent désormais les actifs les plus précieux du cloud, explique VMware, citant Defray777 comme la famille de ransomwares qui crypte les images hôtes sur les serveurs ESXi, comme la famille de ransomwares DarkSide qui était à l'origine de l'attaque Colonial Pipeline.
De plus, l'infrastructure multi-cloud est fréquemment utilisée à mauvais escient pour exploiter la crypto-monnaie pour les attaquants. Étant donné que le cryptojacking, comme on appelle la procédure, ne perturbe pas complètement les opérations des environnements cloud comme le font les ransomwares, il est considérablement plus difficile à détecter.
Cependant, pratiquement toutes les attaques de cryptojacking (XNUMX %) utilisent des bibliothèques liées à XMRig. Par conséquent, lorsque des bibliothèques et des modules XMRig particuliers sont identifiés dans les binaires Linux, il s'agit très probablement d'un minage de chiffrement malveillant.
Il y a aussi les inconvénients croissants de Cobalt Strike et Vermilion Strike, les tests d'intrusion commerciaux et les outils de l'équipe colorado pour Windows et Linux.
Bien qu'ils ne soient pas conçus pour être malveillants, ils peuvent être utilisés comme implant dans un système compromis, donnant aux acteurs malveillants un contrôle partiel de la machine. VMware a découvert plus de quatorze serveurs Cobalt Strike Team actifs sur Internet entre février XNUMX et novembre XNUMX.
Le fait que le pourcentage total d'informations d'identification des clients du service Cobalt Strike divulguées et divulguées soit de cinquante-six % amène VMware à conclure que plus de la moitié des utilisateurs de Cobalt Strike pourraient être des cybercriminels.
Pour faire face à cette menace croissante, le rapport affirme en outre que les organisations doivent "accorder la priorité" à la détection des menaces.