Aggiornamenti recenti Agosto 19th, 2025 1:30 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- PyPI blocca i “domain resurrection”: disattivate 1.800 email
- CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora sotto attacco
- Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e sospetti di backdoor
- Ondata di attacchi brute-force contro le VPN Fortinet, poi FortiManager
- Un invito Google Calendar bastava per prendere il controllo di Gemini
Ransomware e Cryptojacking in Linux
Una ricerca di VMware mostra i metodi più utilizzati dai cybercriminali per attaccare ambienti Linux multi-cloud con ransomware, cryptominer e strumenti di accesso remoto.
Linux rappresenta una parte fondamentale dell’infrastruttura digitale, ma le attuali contromisure contro il malware sono per lo più concentrate sull’affrontare le minacce basate su Windows, rendendo vulnerabili molte implementazioni di cloud pubbliche e private agli attacchi che prendono di mira i workload basati su Linux.
Il provider di servizi multi-cloud VMware ha rilasciato un rapporto sulle minacce in questo sistema operativo dal titolo “Exposing Malware in Linux-Based Multi-Cloud Environments”.
Fra i risultati chiave della ricerca emerge che il ransomware si sta evolvendo per colpire le immagini host utilizzate per far girare i carichi di lavoro negli ambienti virtualizzati, che l’89 per cento degli attacchi di cryptojacking utilizza librerie legate a XMRig e che più della metà degli utenti di Cobalt Strike potrebbero essere criminali informatici, o almeno utilizzare Cobalt Strike in modo illecito.
Poiché il malware che prende di mira i sistemi operativi basati su Linux aumenta sia in volume che in complessità in un panorama di attacchi in rapida evoluzione, le organizzazioni devono dare priorità al rilevamento delle minacce.
Lo studio della VMware Threat Analysis Unit (TAU), composta da analisti di malware, reverse engineer, cacciatori di minacce, data scientist e analisti di intelligence di VMware, ha analizzato le minacce ai sistemi operativi basati su Linux in ambienti multi-cloud: ransomware, cryptominer e strumenti di accesso remoto.
Un attacco ransomware di successo su un ambiente cloud può avere conseguenze devastanti. Gli attacchi ransomware contro le implementazioni cloud sono mirati e spesso combinati con il furto di dati, in uno schema di doppia estorsione che migliora le probabilità di successo.
Gli attaccanti sono ora alla ricerca delle risorse più preziose negli ambienti cloud per infliggere il massimo danno alla vittima. Gli esempi includono la famiglia di ransomware Defray777, che ha criptato le immagini host sui server ESXi, e la famiglia di ransomware DarkSide, che ha paralizzato le reti di Colonial Pipeline e causato una carenza di benzina a livello nazionale negli Stati Uniti.
I criminali informatici alla ricerca di una ricompensa monetaria istantanea spesso prendono di mira le criptovalute utilizzando uno dei due approcci: o includono la funzionalità di furto del portafoglio nel malware o monetizzano i cicli di CPU rubati per estrarre con successo le criptovalute in un attacco chiamato cryptojacking.
La maggior parte degli attacchi di cryptojacking si concentra sul mining della valuta Monero (o XMR) e la VMware TAU ha scoperto che l’89% dei cryptominer ha usato librerie legate a XMRig. Per questo motivo, quando vengono identificate librerie e moduli specifici per XMRig, è probabile che sia la prova di un comportamento malevolo di cryptomining.
La VMware TAU ha anche osservato che evadere la difesa è la tecnica più comunemente usata dai cryptominer basati su Linux. Purtroppo, poiché gli attacchi di cryptojacking non interrompono completamente l’operatività degli ambienti cloud come il ransomware, sono molto più difficili da rilevare.
Per ottenere il controllo e persistere all’interno di un ambiente, i pirati cercano di installare un impianto su un sistema compromesso che dia loro il controllo parziale della macchina. Malware, webshell e strumenti di accesso remoto (RAT) possono essere tutti utilizzati per consentire l’accesso remoto.
Uno degli impianti più usati è Cobalt Strike, un test di penetrazione commerciale, insieme alla recente variante di Vermilion Strike basata su Linux. La VMware TAU ha scoperto più di 14.000 Cobalt Strike Team Server attivi su Internet tra febbraio 2020 e novembre 2021.
La percentuale totale di ID clienti di Cobalt Strike craccati e trapelati è del 56%, il che significa che più della metà degli utenti potrebbero essere criminali informatici, o almeno utilizzare Cobalt Strike in modo illecito. Il fatto che i RAT come Cobalt Strike e Vermilion Strike siano diventati uno strumento di base per i criminali informatici rappresenta una minaccia significativa per le imprese.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
PyPI blocca i “domain resurrection”: disattivate 1.800... Il team di sicurezza della Python Software Foundation,... -
CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora... Nel corso di questa settimana il CERT-AGID ha rilevato -
Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e... Le tensioni tra Stati Uniti e Cina si spostano sul... -
Ondata di attacchi brute-force contro le VPN Fortinet, poi... Una nuova campagna di attacchi informatici sta prendendo di... -
Un invito Google Calendar bastava per prendere il controllo... Una vulnerabilità in Google Calendar consentiva a un...
Ransomware: la serie
No posts found.