Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • Lavora con noi
    • Bibliografie hacker
  • CyT per il sociale
  • Contatti
  • CyberNews

Aumento del 75% degli attacchi ransomware su
sistemi Linux a S1 2022

Aumento del 75% degli attacchi ransomware su
sistemi Linux a S1 2022

da Maurizio / martedì, 06 Settembre 2022 / Pubblicato il Analisi Tecnica, Ransomware

Uno studio condotto da Trend Micro con Sapio Research su 6.297 responsabili della sicurezza IT di 29 paesi mostra un aumento del 75% in un anno del numero di attacchi ransomware mirati ai sistemi Linux nella prima metà del 2022. Le varianti del ransomware LockBit e Cheerscrypt per ambienti Linux virtualizzati con VMware ESXi sono ancora molto aggressive.

Mentre per molti anni i sistemi Linux potevano – a volte erroneamente – essere considerati più sicuri di Windows, oggi non è più così. È persino diventato un bersaglio preferito per gli hacker e le ultime tendenze in materia lo dimostrano bene. Nel suo ultimo rapporto «Defending the Expanding Attach Surface» realizzato con Sapio Research, Trend Micro mostra infatti un incremento notevole degli attacchi contro i sistemi Linux. 

I sistemi Linux rappresentano un obiettivo interessante per gli attori malintenzionati che cercano di espandere la loro portata o hanno deciso di concentrarsi su tipi specifici di infrastrutture, come i server e i sistemi embedded in cui Linux dovrebbe crescere nei prossimi anni», si legge nello studio. Solo nella prima metà del 2022, le minacce ransomware contro i sistemi Linux sono aumentate del 75% in un anno, passando da 1.121 a 1.961. Abbiamo previsto che gli operatori di ransomware implementeranno metodi di estorsione moderni e sofisticati mentre affrontano obiettivi più grandi. Diventerebbe una minaccia formidabile se gli operatori di ransomware lo integrassero costantemente nei loro attacchi», spiega il rapporto.

Un notevole impatto potenziale sugli ambienti ESXi

Sviluppato da VMware, l’hypervisor ESXi di tipo 1 (bare metal) viene utilizzato per creare ed eseguire macchine virtuali in sistemi Windows e Linux. Gli hacker sono tutt’altro che privi di immaginazione poiché hanno adottato il loro arsenale, tra cui ransomware personalizzati che sfruttano le sue vulnerabilità. Questo è il caso dalla fine del 2021 per RansomwEXX e LockBit e più recentemente (maggio 2022) Cheerscrypt. Sulla base del codice sorgente del ransomware Babuk, quest’ultimo crittografa ad esempio i file di registro e altri file relativi a VMware utilizzando la tecnica della doppio estorsione.

L’impatto potenziale di un’infezione è notevole in questo caso poiché i server ESXi sono ampiamente utilizzati dalle aziende per la virtualizzazione dei server. Le organizzazioni possono anche utilizzare questi server per ospitare più macchine virtuali dove conservano dati importanti. “Ciò significa che spesso fanno parte dell’infrastruttura critica di un’organizzazione e quindi tutto ciò che porta al successo dell’attacco può causare grandi danni a un’organizzazione”, afferma Trend Micro.

Una nuova strategia per la compromissione dei sistemi Linux

Altre vulnerabilità che interessano Linux, ma anche Unix, includono la CVE-2022-0847 aka Dirty Pipe che ha interessato il kernel Linux a partire dalla versione 5.8. «Sfrutta un difetto nella gestione della memoria del kernel Linux, in particolare per il modo in cui le cache delle pagine dei canali vengono unite e sovrascrivono le cache delle altre pagine», osserva lo studio. Pertanto, è più che raccomandato un aggiornamento alla versione 5.16.11, 5.15.25 e 5.10.102. La CVE-2022-29464, che punta all’integrazione di API e servizi web WSO2, è anche da non sottovalutare con tentativi di exploit ricorrenti dallo scorso aprile. Questi tentativi si sono verificati dopo la pubblicazione di un POC per l’exploit su GitHub. Poco dopo la sua pubblicazione, sono stati registrati un aumento delle installazione di tool di terze parti come per esempio Cobalt Strike e altri malware come parte della routine di attacco», afferma Trend Micro.

Lo studio mostra anche un’evoluzione di alcuni gruppi di attacchi informatici come Outlaw che ha riorientato nel corso degli anni la sua tipologia di sistemi target includendo principalmente i sistemi e gli endpoint IoT e Linux che girano nel cloud. Il malware di mining di criptovaluta è cresciuto nei sistemi operativi Linux. A metà strada fino al 2022, abbiamo osservato un aumento di circa il 145% dei rilevamenti per criptovalute basate su Linux rispetto allo stesso periodo del 2021», spiega anche l’autore.

Maurizio

Problem Solver e Cyber Security Advisor, si occupa di sicurezza informatica e di Ethical Hacking da oltre 20 anni.

Da diversi anni tiene corsi di Ethical Hacking e consapevolezza della sicurezza informatica formando centinaia di persone nell’IT e migliaia di risorse aziendali.

Tre caratteristiche che lo distinguono:

La passione/ossessione per le password
Ha chiamato Hash anche il suo gatto
Il papillon

Colore preferito? Verde, ovviamente!

Condividi
Taggato in: linux, lockbit, ransomware, vmware, Vulnerability

Che altro puoi leggere

Come mitigare gli attacchi di Active Directory
che usano il toolset di KrbRelayUp
Attacco massivo al gruppo alberghiero IHG
interrompe i sistemi di prenotazione
Log4j
una minaccia significativa

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • password intelligence

    Controllo di sicurezza: 13.000 password del governo USA violate in 90 minuti

    Poiché i dipendenti del Dipartimento degli Inte...
  • Fuga di dati: circola un database con 235 milioni di account Twitter

    Dopo che a dicembre è stato messo in vendita un...
  • Codice dannoso su PyPI: attacco alla catena di distribuzione delle build notturne di PyTorch

    Chi ha recentemente installato PyTorch-nightly ...
  • Il ransomware Magniber ora infetta gli utenti Windows
    tramite file JavaScript

    Una recente campagna dannosa che ha distribuito...
  • GIFShell – Nuovo attacco che consente agli aggressori di rubare
    i dati utilizzando una GIF dentro Microsoft Teams

    Una nuova tecnica di attacco chiamata “GIFShell...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?