Linux, uzun yıllardır iş altyapısının güvenilir bir omurgası olmuştur; Dünya çapında ilk milyon web sunucusunun% 96’sını ve halka açık bulutlarda iş yüklerinin% 80’inden fazlasını güçlendiriyor.
Güvenilirlik ve doğal güvenlik konusundaki itibarı, uzun zamandır onu Windows ortamlarının karşılaştığı yoğun incelemeden korumuştur.
Bununla birlikte, bu göreceli belirsizlik dönemi, fidye yazılımı operatörleri Linux-doğal saldırılara giderek daha fazla dönerek, kritik uygulamalardaki, API’lerde, DevOps boru hatlarındaki ve sanallaştırılmış altyapılardaki yaygınlığından yararlanır.
Son gelişmeler bu değişimin altını çiziyor: Tehdit aktörleri artık Windows merkezli kötü amaçlı yazılımları uyarlamıyor, ancak sofistike Linux’a özgü fidye yazılımı varyantları mühendislik yapıyor.
Örneğin, Pay2key fidye yazılımı, Linux sistemlerini açıkça hedefleyen oluşturucu seçenekleri ile güncellenirken, HellDown Linux ana bilgisayarlarıyla birlikte VMware ortamlarına sızma yeteneklerini genişletti.
Benzer şekilde, BERT Fidye Yazılımı, yükleri silahlandırmak için Linux ELF (yürütülebilir ve bağlantılı format) dosyalarından yararlanır ve çeşitli dağılımlarda sorunsuz bir şekilde yürütülür.
Bu evrim, saldırganların Linux’un yüksek değerli varlıklardaki rolünü tanıdığı ve düşük riskli bir platformdan bozulma ve gasp için yüksek bahisli bir savaş alanına dönüştürdüğü daha geniş bir eğilimi yansıtıyor.
Linux’un benzersiz güvenlik açıklarından istismar
Linux’u hedefleyen modern fidye yazılımı kampanyaları, hızları, kaçırma teknikleri ve işletim sisteminin hafif, modüler mimarisine uyarlanabilirlikleri ile karakterizedir.
Saldırganlar, diskte artefaktları devam ettirmeden kötü amaçlı kodları doğrudan bellekte çalıştırmak için Bash komut dosyaları, CRON Jobs ve Systemd hizmetleri gibi yerel araçları kullanarak, sözsüz yürütme ve yaşam süresi (LOTL) stratejileri kullanıyorlar.
Morphisec raporuna göre, bu yaklaşım genellikle Windows ekosistemleri için ayarlanmış dosya tabanlı imzalara veya davranışsal sezgisel tarama dayanan geleneksel uç nokta tespit ve yanıt (EDR) çözümlerini atlatıyor.
Çift gasp standart hale geldi, fidye yazılımı sadece verileri şifrelemekle kalmaz, aynı zamanda fikri mülkiyet, finansal kayıtlar veya müşteri verileri gibi hassas bilgileri de ortaya çıkarır, mağdurlara şifre çözme taleplerinin yanı sıra kamu sızıntıları tehditleriyle baskı yapar.
Bulut-yerli ortamlar, ağırlıklı olarak Linux tabanlı, özellikle duyarlıdır; İzinler, Kimlik ve Erişim Yönetimi (IAM) ve sürekli entegrasyon/sürekli dağıtım (CI/CD) boru hatlarındaki yanlış yapılandırmalar hızlı yanal harekete izin verir.
Kubernetes kümeleri ve kapsayıcı iş yükleri, saldırganlar, güvenlik ekipleri ilk erişimi algılamadan önce, genellikle fidye yazılımlarını düğümler arasında yaymak için düzenleme kusurlarını kullandıkça bu riskleri artırır.
Kenar bilgi işlem, IoT cihazları ve sanal makinelerde verimlilik için optimize edilmiş birçok Linux dağıtımının kaynak kısıtlı doğası, bu bellek içi tehditlere karşı yeterli koruma sağlamadan performansı bozar.
Eski savunmaların eksiklikleri
Eski antivirüs tarayıcıları ve portlu EDR platformları da dahil olmak üzere geleneksel güvenlik önlemleri, Ubuntu, Centos ve Red Hat gibi dağıtımların çekirdek konfigürasyonlarında ve paket yönetiminde değiştiği Linux’un parçalanmış manzarası için donanımlıdır.
Bu araçlar disk tabanlı algılama konusunda mükemmeldir, ancak adli iz bırakmayan geçici, bellek sakini saldırılara karşı durur.
Parçalanma, izleme ve yanıtta kör noktalara yol açan ortamlar arasında tutarsız bir kapsama sahip görünürlük sorunlarını şiddetlendirir.
Ayrıca, veri merkezleri ve bulut örnekleri gibi yüksek verimli senaryolarda Linux’un performans talepleri, kaynak yoğun ajanları pratik hale getirir, bu da genellikle yanlış pozitiflere veya operasyonel aksamalara neden olur.
Baş Bilgi Güvenliği Görevlileri (CISOS), gerçek zamanlı izleme için EBPF (Genişletilmiş Berkeley Paket Filtresi) ve Linux’un işlemi ISOMOLEME özelliklerine göre tasarlanmış Sıfır Güvencesi Modelleri ve Sıfır Güvencesi Modelleri ile Çalışma Zamanı Başvurusu Kendini Koruma (RASP), Çekirdek Seviyesi Sertleştirme’yi dahil ederek önleme ilk mimarilerini değiştirmelidir.
Anomali algılamasını sistem çağrılarına entegre ederek ve davranışsal bazelining için makine öğreniminden yararlanarak kuruluşlar, fidye yazılımının yürütülmesini önleyerek bulut ve sanallaştırılmış kurulumlardaki kök güvenlik açıklarını ele alabilir.
VMware tarafından entegre Linux sistemlerine yönelik saldırılar yoğunlaştıkça, bu proaktif duruş, giderek daha düşmanca bir tehdit manzarasında finansal ve itibar hasarını azaltmak için gereklidir.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.