{"id":10537,"date":"2022-03-16T17:14:55","date_gmt":"2022-03-16T22:14:55","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=10537"},"modified":"2022-03-16T17:15:04","modified_gmt":"2022-03-16T22:15:04","slug":"los-cibercriminales-atacan-los-sistemas-basados-en-linux-con-ataques-de-ransomware-y-criptosecuestro","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/los-cibercriminales-atacan-los-sistemas-basados-en-linux-con-ataques-de-ransomware-y-criptosecuestro\/","title":{"rendered":"Los cibercriminales atacan los sistemas basados en Linux con ataques de ransomware y criptosecuestro"},"content":{"rendered":"\n<p class=\"has-text-align-center\"><em>El informe de VMware revela que m\u00e1s de la mitad de los usuarios de Cobalt Strike est\u00e1n utilizando la herramienta il\u00edcitamente<\/em><\/p>\n\n\n\n<p><strong>PALO ALTO, Calif. \u2013<\/strong><strong>&nbsp;<\/strong>Como el sistema operativo de nube m\u00e1s com\u00fan, Linux es una parte fundamental de la infraestructura digital y se est\u00e1 convirtiendo r\u00e1pidamente en el tiquete de acceso de los atacantes al&nbsp; entorno de nubes m\u00faltiples. Las contramedidas actuales de malware se centran principalmente en c\u00f3mo abordar las amenazas basadas en Windows, lo que deja a muchas implementaciones de nubes p\u00fablicas y privadas vulnerables a ataques dirigidos a cargas de trabajo basadas en Linux.<\/p>\n\n\n\n<p>VMware, Inc. (NYSE: VMW)&nbsp;<a href=\"https:\/\/www.vmware.com\/resources\/security\/exposing-malware-in-multi-cloud.html?utm_source=pr&amp;utm_medium=referral&amp;utm_campaign=linux-threat-report&amp;utm_term=none&amp;utm_content=none\">public\u00f3<\/a>&nbsp;un informe sobre las amenazas titulado <em>\u201cExponer malware en entornos de nubes m\u00faltiples basados en Linux\u201d.<sup>(<\/sup><\/em><sup>1)<\/sup>&nbsp;Entre las principales conclusiones que detallan c\u00f3mo los cibercriminales utilizan el malware para atacar los sistemas operativos basados en Linux se incluyen:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Ransomware est\u00e1 evolucionando para atacar im\u00e1genes de host de Linux utilizadas para hacer girar cargas de trabajo en entornos virtualizados;<\/li><li>El 89% de los ataques de criptosecuestros utilizan bibliotecas relacionadas con XMRig; y<\/li><li>M\u00e1s de la mitad de los usuarios de Cobalt Strike pueden ser cibercriminales o, al menos, utilizar Cobalt Strike de forma il\u00edcita.<\/li><\/ul>\n\n\n\n<p><em>\u201cLos cibercriminales est\u00e1n ampliando dr\u00e1sticamente su alcance y a\u00f1adiendo malware dirigido a los sistemas operativos basados en Linux a su kit de herramientas de ataque para maximizar su impacto con el menor esfuerzo posible\u201d,<\/em> afirm\u00f3 Giovanni Vigna, director senior de inteligencia frente a amenazas de VMware. <em>\u201cEn lugar de infectar una terminal y luego navegar hacia un objetivo de mayor valor, los cibercriminales han descubierto que poner en peligro un \u00fanico servidor puede ofrecer una mayor recompensa y el acceso que buscan. Los atacantes consideran las nubes p\u00fablicas y privadas como objetivos de gran valor debido al acceso que proporcionan a los servicios de infraestructura cr\u00edticos y a los datos confidenciales. Lamentablemente, las actuales contramedidas relativas al malware se centran principalmente en c\u00f3mo abordar las amenazas basadas en Windows, lo que hace que muchas implementaciones de nubes p\u00fablicas y privadas sean vulnerables a los ataques contra sistemas operativos basados en Linux\u201d.<\/em><\/p>\n\n\n\n<p>A medida que el malware dirigido a sistemas operativos basados en Linux aumenta tanto en volumen como en complejidad en medio de un panorama de amenazas en constante cambio, las organizaciones deben dar mayor prioridad a la detecci\u00f3n de amenazas. En este informe, la Unidad de An\u00e1lisis de Amenazas de VMware (TAU)&nbsp; analiz\u00f3 las amenazas a los sistemas operativos basados en Linux en los entornos de nubes m\u00faltiples: ransomware, criptomineros y herramientas de acceso remoto.<\/p>\n\n\n\n<h5 class=\"wp-block-heading\"><strong>El ransomware apunta a la nube para infligir el m\u00e1ximo da\u00f1o<\/strong><\/h5>\n\n\n\n<p>Como una de las&nbsp;<a href=\"https:\/\/www.carbonblack.com\/resources\/global-security-insights-report-2021-intelligence-from-the-global-cybersecurity-landscape\/?lp=1&amp;utm_source=twitter&amp;utm_medium=social&amp;utm_campaign=social-organic&amp;utm_term=none&amp;utm_content=report\">principales causas de incumplimiento<\/a>&nbsp;para las organizaciones, un ataque de ransomware exitoso en un entorno de nube puede tener consecuencias devastadoras.<sup>(2)&nbsp;<\/sup>Los ataques de ransomware contra las implementaciones en la nube est\u00e1n dirigidos y a menudo se combinan con la filtraci\u00f3n de datos, implementando un esquema de extorsi\u00f3n doble que mejora las probabilidades de \u00e9xito. Un nuevo desarrollo muestra que el ransomware est\u00e1 evolucionando para atacar im\u00e1genes de host Linux utilizadas para hacer girar las cargas de trabajo en entornos virtualizados. Los atacantes buscan ahora los activos m\u00e1s valiosos en entornos de nube para infligir la m\u00e1xima cantidad de da\u00f1o al objetivo. Entre los ejemplos se incluyen la familia de ransomware Defray777, que encript\u00f3 im\u00e1genes de host en servidores ESXi, y la familia de ransomware DarkSide, que paraliz\u00f3 las redes de Colonial Pipeline y caus\u00f3 una escasez de gasolina en todo el pa\u00eds en los Estados Unidos<\/p>\n\n\n\n<h5 class=\"wp-block-heading\"><strong>Los ataques de criptosecuestros usan XMRig para minar Monero<\/strong><\/h5>\n\n\n\n<p>Los cibercriminales que buscan una recompensa monetaria instant\u00e1nea a menudo atacan a las criptomonedas utilizando uno de dos enfoques. Los cibercriminales incluyen la funcionalidad de robo de carteras en malware o monetizan los ciclos de CPU robados para extraer con \u00e9xito criptomonedas en un ataque llamado criptosecuestro. La mayor\u00eda de los ataques de criptosecuestros se centran en la miner\u00eda de la moneda Monero (o XMR) y VMware TAU descubri\u00f3 que el 89% de los criptomineros utilizaban bibliotecas relacionadas con XMRig. Es por esto que, cuando se identifican las bibliotecas y m\u00f3dulos espec\u00edficos de XMRig en los binarios de Linux, es probable que se produzca un comportamiento criptominero malicioso. VMware TAU tambi\u00e9n observ\u00f3 que la evasi\u00f3n de defensa es la t\u00e9cnica m\u00e1s utilizada por los criptomineros. Desafortunadamente, debido a que los ataques de criptosecuestros no interrumpen completamente las operaciones de entornos de nube como el ransomware, son mucho m\u00e1s dif\u00edciles de detectar.<\/p>\n\n\n\n<h5 class=\"wp-block-heading\"><strong>Cobalt Strike es la herramienta de acceso remoto preferida por los atacantes<\/strong><\/h5>\n\n\n\n<p>Para obtener el control y persistir en un entorno, los atacantes buscan instalar un implante en un sistema comprometido que les proporcione un control parcial de la m\u00e1quina. El malware, los webshells y las herramientas de acceso remoto (RATs) pueden ser implantes utilizados por los atacantes en un sistema comprometido para permitir el acceso remoto. Uno de los implantes principales utilizados por los atacantes es Cobalt Strike, una herramienta de prueba de penetraci\u00f3n comercial y equipo rojo, y su reciente variante Vermilion Strike basada en Linux. Dado que Cobalt Strike es una amenaza tan ubicua para Windows, la expansi\u00f3n al sistema operativo basado en Linux demuestra el deseo de los atacantes de utilizar herramientas de f\u00e1cil acceso que se dirigen al mayor n\u00famero posible de plataformas.<\/p>\n\n\n\n<p>VMware TAU descubri\u00f3 m\u00e1s de 14,000 servidores activos de Cobalt Strike Team en Internet entre febrero de 2020 y noviembre de 2021. El porcentaje total de ID de clientes de Cobalt Strike descifrados y filtrados es del 56%, lo que significa que m\u00e1s de la mitad de los usuarios de Cobalt Strike pueden ser cibercriminales o, al menos, utilizan Cobalt Strike de forma il\u00edcita. El hecho de que RATs como Cobalt Strike y Vermilion Strike se hayan convertido en herramientas b\u00e1sicas para los cibercriminales representa una amenaza significativa para las compa\u00f1\u00edas.<\/p>\n\n\n\n<p><em>\u201cDesde que realizamos nuestro an\u00e1lisis, se observ\u00f3 que a\u00fan m\u00e1s familias de ransomware gravitan al malware dirigido a sistemas basados en Linux, con el potencial de ataques adicionales que podr\u00edan aprovechar las vulnerabilidades Log4j\u201d,<\/em> dijo Brian Baskin, director de investigaci\u00f3n de amenazas de VMware. <em>\u201cLos resultados de este informe se pueden utilizar para comprender mejor la naturaleza de este malware y mitigar la creciente amenaza que tienen el ransomware, el criptominado y las RATS en entornos de nubes m\u00faltiples. A medida que los ataques dirigidos a la nube sigan evolucionando, las organizaciones deben adoptar un enfoque de confianza cero para integrar la seguridad en toda su infraestructura y abordar sistem\u00e1ticamente los vectores de amenazas que conforman su superficie de ataque\u201d.<\/em><\/p>\n\n\n\n<p><strong>Descargue el informe completo<\/strong><strong>&nbsp;<\/strong><a href=\"https:\/\/www.vmware.com\/resources\/security\/exposing-malware-in-multi-cloud.html?utm_source=pr&amp;utm_medium=referral&amp;utm_campaign=linux-threat-report&amp;utm_term=none&amp;utm_content=none\"><strong>aqu\u00ed<\/strong><\/a><strong>.<\/strong><\/p>\n\n\n\n<h5 class=\"wp-block-heading\"><strong>Metodolog\u00eda<\/strong><strong><\/strong><\/h5>\n\n\n\n<h5 class=\"wp-block-heading\">La Unidad de An\u00e1lisis de Amenazas de VMware (TAU) ayuda a proteger a los clientes de ciberataques mediante la innovaci\u00f3n y la investigaci\u00f3n de primera categor\u00eda. TAU est\u00e1 compuesto por analistas de malware, ingenieros de ingenier\u00eda inversa, cazadores de amenazas, cient\u00edficos de datos y analistas de inteligencia de VMware. Para comprender c\u00f3mo detectar y prevenir ataques que omiten las estrategias de prevenci\u00f3n tradicionales centradas en archivos, TAU se centra en t\u00e9cnicas que en su momento eran el dominio de los hackers avanzados y que ahora est\u00e1n avanzando hacia el mercado de ataques de productos b\u00e1sicos. El equipo aprovecha el big data en tiempo real, el procesamiento de transmisi\u00f3n de eventos, el an\u00e1lisis est\u00e1tico, din\u00e1mico y de comportamiento y el aprendizaje autom\u00e1tico.<\/h5>\n\n\n\n<p>TAU aplic\u00f3 una composici\u00f3n de t\u00e9cnicas est\u00e1ticas y din\u00e1micas para caracterizar varias familias de malware observadas en sistemas basados en Linux bas\u00e1ndose en un conjunto de datos curados de metadatos asociados con binarios de Linux. Todas las muestras de este conjunto de datos son p\u00fablicas y, por lo tanto, se puede acceder f\u00e1cilmente a ellas mediante VirusTotal o varios sitios web de las principales distribuciones de Linux. TAU recopil\u00f3 m\u00e1s de 11,000 muestras benignas de varias distribuciones de Linux, a saber, Ubuntu, Debian, Mint, Fedora, CentOS y Kali. TAU luego recopil\u00f3 un conjunto de datos de muestras para dos clases de amenazas, a saber, ransomware y criptomineros. Por \u00faltimo, TAU recopil\u00f3 un conjunto de datos de binarios ELF maliciosos de VirusTotal que se utilizaron como un conjunto de datos maliciosos de prueba. TAU comenz\u00f3 a recopilar el conjunto de datos en junio de 2021 y concluy\u00f3 en noviembre de 2021.<\/p>\n\n\n\n<h5 class=\"wp-block-heading\"><strong>Acerca de VMware<\/strong><strong><\/strong><\/h5>\n\n\n\n<h5 class=\"wp-block-heading\">VMware es el proveedor l\u00edder de servicios de nubes m\u00faltiples para todas las aplicaciones, permitiendo la innovaci\u00f3n digital con control empresarial. Como base de confianza para acelerar la innovaci\u00f3n, el software de VMware ofrece a las empresas la flexibilidad y la elecci\u00f3n que necesitan para construir el futuro. Con sede en Palo Alto, California, VMware se compromete a construir un futuro mejor a trav\u00e9s de la Agenda 2030 de la compa\u00f1\u00eda. Para obtener m\u00e1s informaci\u00f3n, visite <a href=\"http:\/\/www.vmware.com\/company\">www.vmware.com\/company<\/a>.&nbsp;<\/h5>\n\n\n\n<h5 class=\"has-small-font-size wp-block-heading\"><strong>Fuentes y citas<\/strong><\/h5>\n\n\n\n<ol type=\"1\" class=\"has-small-font-size wp-block-list\"><li>La exposici\u00f3n de malware en entornos de nubes m\u00faltiples basados \u200b\u200ben Linux, VMware, febrero de 2022<\/li><li>Informe de perspectivas de seguridad, VMware, junio de 2021<\/li><\/ol>\n","protected":false},"excerpt":{"rendered":"<p>El informe de VMware revela que m\u00e1s de la mitad de los usuarios de Cobalt Strike est\u00e1n utilizando la herramienta il\u00edcitamente PALO ALTO, Calif. \u2013&nbsp;Como el sistema operativo de nube m\u00e1s com\u00fan, Linux es una parte fundamental de la infraestructura digital y se est\u00e1 convirtiendo r\u00e1pidamente en el tiquete de acceso de los atacantes al&nbsp; [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":10539,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","footnotes":""},"categories":[104],"tags":[195,119,129],"class_list":["post-10537","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-vmware","tag-syspertec","tag-tecnologia","tag-vmware"],"jetpack_featured_media_url":"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2022\/03\/Linux-Attacks_VMware.webp","_links":{"self":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/10537","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/comments?post=10537"}],"version-history":[{"count":1,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/10537\/revisions"}],"predecessor-version":[{"id":10540,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/10537\/revisions\/10540"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media\/10539"}],"wp:attachment":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media?parent=10537"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/categories?post=10537"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/tags?post=10537"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}