Malware direcionado a sistemas Linux aumentou 35% em 2021 em comparação com 2020

Mais de 30 bilhões de dispositivos IoT estão projetados para serem conectados à Internet até o final de 2025, um campo massivo para ataques cibernéticos. O Linux alimenta a maioria da infraestrutura em nuvem e servidores da Web atuais, mas também alimenta dispositivos móveis e IoT, estes que se tornaram o principal alvo para certas atividades de malware. Segundo relatório da empresa de segurança CrowdStrike, o malware direcionado a sistemas Linux aumentou 35% em 2021, em relação ao ano anterior.

O malware direcionado a sistemas operacionais baseados em Linux, comumente implantados em dispositivos da Internet das Coisas (IoT), aumentou 35% em 2021 em comparação com 2020, de acordo com a atual telemetria de ameaças da CrowdStrike. As três principais famílias de malware – XorDDoS, Mirai e Mozi – representam 22% de todo o malware de IoT baseado em Linux, em 2021.

Segundo a CrowdStrike, o objetivo principal dessas famílias de malware é comprometer dispositivos vulneráveis ​​conectados à Internet, acumulá-los em botnets e usá-los para realizar ataques distribuídos de negação de serviço (DDoS) .

Um botnet é uma rede de dispositivos comprometidos conectados a um centro de comando e controle remoto (C2), como uma pequena engrenagem na rede que pode infectar outros dispositivos. Botnets são frequentemente usados ​​para ataques DDoS, alvos de spam, obtenção de controle remoto e realização de atividades com uso intensivo de CPU, como mineração de criptomoedas. Os ataques DDoS usam vários dispositivos conectados à Internet para acessar um serviço ou gateway específico, impedindo a passagem de tráfego legítimo, consumindo toda a largura de banda e causando falhas, destaca a empresa.

O malware Mozi registrou um aumento significativo, dez vezes maior no número de amostras em ‘estado selvagem’ em 2021, em comparação com 2020. Mozi é uma rede de botnet peer-to-peer (P2P) que utiliza o sistema de tabela de hash distribuído (DHT), implementando seu próprio DHT estendido. O mecanismo de pesquisa distribuído e descentralizado fornecido pelo DHT permite que o Mozi esconda a comunicação C2 por trás de uma grande quantidade de tráfego DHT legítimo. A Crowdstrike diz que ele infecta sistemas forçando as portas SSH e Telnet com força bruta. Em seguida, bloqueia essas portas para que não seja substituído por outros agentes mal-intencionados ou malware.

O XorDDoS, por sua vez, é um trojan Linux compilado para várias arquiteturas Linux, variando de ARM a x86 e x64. Seu nome é derivado do uso de criptografia XOR em malware e comunicação de rede com a infraestrutura C2. Ao direcionar dispositivos IoT, o trojan é conhecido por usar ataques de força bruta SSH para obter controle remoto em dispositivos vulneráveis.

Em máquinas Linux, algumas variantes do XorDDoS mostram que seus operadores verificam e procuram servidores Docker com a porta 2375 aberta. Essa porta oferece um soquete do Docker não criptografado e acesso remoto sem senha ao host, que os invasores podem abusar para obter acesso root à máquina, diz a empresa de segurança. Segundo o relatório, o número de amostras de malware XorDDoS ao longo de 2021 aumentou quase 123% em comparação com 2020.

Semelhante ao Mozi, o Mirai abusa de protocolos fracos e senhas fracas, como Telnet, para comprometer dispositivos usando ataques de força bruta. Com várias variantes do Mirai surgindo desde que seu código-fonte se tornou público, o trojan Linux pode ser considerado o ancestral comum de muitos malwares DDoS para Linux atuais, segundo o relatório. Enquanto a maioria das variantes adiciona recursos Mirai existentes ou implementa diferentes protocolos de comunicação, em sua essência eles compartilham o mesmo DNA Mirai, dizem os pesquisadores.

Algumas das variantes mais prevalentes rastreadas pelos pesquisadores da CrowdStrike envolvem Sora, IZIH9 e Rekai. Em comparação com 2020, o número de amostras identificadas para todas as três variantes aumentou 33%, 39% e 83%, respectivamente, em 2021.

Com informações de ZDNet