Il sistema operativo Linux sta diventando sempre più attraente per gli attori malintenzionati, secondo un rapporto di Crowdstrike.
Gli ultimi dati di telemetria delle minacce dell'azienda hanno mostrato che il malware per il popolare sistema operativo è aumentato di oltre un terzo (35%) nel 2021, rispetto all'anno precedente.
Secondo Crowdstrike, Linux è un bersaglio popolare per i criminali informatici grazie alla sua popolarità tra gli sviluppatori di infrastrutture cloud e i produttori di server web. Inoltre, alimenta anche la maggior parte dei dispositivi mobili e IoT.
Scopo
Di tutti i malware presenti, solo tre famiglie rappresentano quasi un quarto (22%) di tutto il malware basato su Linux trovato nel 2021. Si tratta di XorDDoS, Mirai e Mozi. Il suo scopo principale è assimilare gli endpoint di destinazione in una botnet, da utilizzare per attacchi Distributed Denial of Service (DDos).
Il malware XorDDoS, ad esempio, ha avuto il 123% di campioni in più nel 2021 rispetto all'anno precedente, mentre Mozi è cresciuto di dieci volte nello stesso periodo.
Il terzo malware più popolare è Mirai e tutte le sue propaggini. Crowdstrike afferma di essere un "antenato comune" per molti dei campioni di malware emergenti di oggi, come Sora (33% in più), IZIH9 (39%) o Rekai (83%).
Attacchi DDoS e cryptominer
Esistono molti modi in cui gli attori malintenzionati possono utilizzare per attaccare i dispositivi basati su Linux, dalla ricerca di quelli con credenziali codificate, al prendere di mira quelli con porte aperte, a quelli con vulnerabilità note e senza patch.
Anche in futuro le cose non miglioreranno. Crowdstrike prevede che oltre 30 miliardi di dispositivi IoT saranno connessi a Internet entro tre anni, creando una superficie di attacco potenzialmente ampia.
Una botnet è, come suggerisce il nome, una rete di bot che svolgono attività specifiche per il proprio amministratore. Di solito sono caricati con attacchi DDoS, ma spesso possono essere usati per estrarre criptovaluta. Una delle botnet più grandi e popolari è stata Mirai, utilizzata nel 2016 per attaccare l'operatore di server dei nomi di dominio Dyn, tra le altre cose. Mirai fu smantellato tre anni dopo, grazie a un raid congiunto di diverse forze dell'ordine.