עלייה במתקפות כופרה בסביבות ענן מבוססות לינוקס

יותר ויותר מתקפות סייבר מכוונות נגד סביבות ענן היברידי, המבוססות על לינוקס, כך לפי חוקרי VMware.

החוקרים, מ-TAU, יחידת ניתוח האיומים של ענקית הוירטואליזציה, כתבו כי "מתקפות אלו כוללות, בין השאר, התקנת נוזקה לצורך דרישות כופר וכלים לגישה מרחוק, RAT". לדבריהם, "הפיתוחים האחרונים בתחום הכופרה כוללים פגיעה בעומסי עבודה בלינוקס בסביבות וירטואליות".

לטענתם, "בסביבות פגיעות נצפו נוזקות כמו Defray777 ו-DarkSide, אשר שבחלקן נעשה שימוש בפריצה הגדולה לקולוניאל פייפליין (Colonial Pipeline) בשנה שעברה".

"הממצאים מצביעים על מגמה, לפיה לינוקס נמצאת יותר ויותר על הכוונת של התוקפים, ששואפים להשיג דריסת רגל בארגונים ולהפיץ נוזקות ממניעים כספיים", המשיכו לטענו החוקרים.

אמצעים מסורתיים נגד נוזקות – בדרך כלל מתמקדים בסביבות חלונות 

חוקרי VMware TAU כתבו גם בדו"ח שלהם כי "נוזקות המבוססות על לינוקס הופכות ליותר מתוחכמות ופוגעניות, כאשר התקיפות פוגעות בארגונים המתמודדים עם אירועים פיננסיים – זאת, במטרה לתמרץ אותם לשלם, או כשהן פוגעות בסביבות ענן לפני הצפנת הקבצים. אז זה נעשה כדי להקשות על תגובה לאירוע התקיפה".

החוקרים ציינו שאמצעים מסורתיים ללחימה בנוזקות מתמקדים בדרך כלל בהגנה על סביבות חלונות, כלומר לא מוקדשת מספיק תשומת לב ללינוקס – ולכן, "עננים ציבוריים ופרטיים נשארים פגיעים יותר".

לפי החוקרים, "יותר מ-75% מהאתרים הפופולריים ביותר כיום נתמכים על ידי לינוקס. זו גם מערכת הפעלת הענן הפופולרית ביותר, והיא מהווה חלק עיקרי בתשתית הדיגיטלית של ארגונים". 

לדברי ג'ובני ויגנה, מנהל בכיר למודיעין איומים ב-VMware, "פושעי הסייבר מרחיבים באופן דרמטי את היקף הפעולה שלהם ומוסיפים לארגז הכלים שלהם נוזקות שמכוונות למערכות תפעול המבוססות על לינוקס. זאת, על מנת למקסם את הפגיעה שלהם בכמה שפחות מאמץ".

הוא ציין כי "תוקפים רואים בעננים הפרטיים והציבוריים מטרות בעלות ערך גבוה, משום שהם מספקים שירותי תשתית קריטיים ומכילים מידע חסוי".

החוקרים סיימו בכותבם כי "כדי להשיג שליטה ועקביות בתוך סביבה, תוקפים שואפים להתקין נוזקה במערכת שהיא פגיעה. זאת, כדי להשיג שליטה חלקית על המכונה. תוקפים יכולים לשתול נוזקות וכלי גישה מרוחקים במערכות פגיעות, כדי לאפשר להם גישה מרחוק".