VMwareのジョバンニ・ビーニャ氏(脅威インテリジェンス担当シニアディレクター)は言う。「できる限り少ない労力で効果を最大化するため、Linuxを標的とするマルウェアをツールセットに加えている」
「攻撃者は、エンドポイントからより価値の高い標的に侵入するのではなく、1台のサーバを侵害するだけで莫大(ばくだい)な利益とアクセスを入手できることに気付いた。重要なインフラサービスと機密データにアクセスできるため、パブリッククラウドとプライベートクラウドを価値の高い標的と見なしている」
「現在のマルウェア対策はWindowsベースの脅威を重視している。パブリッククラウドとプライベートクラウドの多くはLinuxベースの攻撃に対して脆弱なままだ」
レポートは、Linuxベースのランサムウェアが新たに開発された証拠を明らかにしている。その例にはDarkSideのランサムウェアや「VMware ESXi」のホストイメージを暗号化する「Defray777」などがある。
VMwareによると、これは攻撃者がクラウドでより価値のある資産を攻撃する必要があると判断した明らかな兆候だという。
クリプトマイニングはランサムウェアよりも影響は少なく、クラウドを破壊するわけではないように思える。そのため検出が難しくなる恐れがある。この点を利用して攻撃者が素早く報酬を得る方法が2つある。マルウェアで暗号ウォレットを盗み出す方法と、CPUサイクルを金銭化するために暗号通貨をマイニングする方法だ。こちらは「Monero(XMR)」が狙われることが多い。
クリプトマイナーの89%は「XMRig」関連のライブラリを利用する。これらのライブラリやモジュールをLinuxサーバ内で発見したら、ハッキングされている証拠になる。
Linuxでも広がる恐れのある「Cobalt Strike」の亜種
ペネトレーションテストツールおよびフレームワークの「Cobalt Strike」は、Windowsを標的とする攻撃者に長い間利用されてきた。2021年にはLinuxを標的とするリバースエンジニアリングバージョン(通称「Vermilion Strike」)が見つかり、攻撃者のオプションになりつつある。
2020年2月から2021年11月までに1万4000を超えるアクティブなCobalt Strikeチームサーバが見つかった。クラックおよび漏えいしたCobalt Strike顧客IDは56%に上る。つまりCobalt Strikeユーザーの半数以上がサイバー犯罪者か、違法使用者ということだ。
VMwareのブライアン・バスキン氏(脅威調査部門マネジャー)は言う。「さらに多くのランサムウェアファミリーがLinuxベースに向かう動きが増えている。Log4jの脆弱性を悪用する攻撃も増える可能性がある」
「『Exposing Malware in Linux-Based Multi-Cloud Environments』を利用すれば、Linuxベースのマルウェアの性質を理解し、マルチクラウド環境にランサムウェア、クリプトマイニング、リモートアクセスツールが広がる脅威を軽減できる」