Forscher teilen einen Fahrplan zur Stärkung der Linux-Verteidigung

BlackBerry-Bedrohungsforscher haben gemeinsame Taktiken und Strategien entwickelt, um Linux-Systeme besser vor Cyberangriffen zu schützen. Um einen gangbaren Weg zur Sicherheit zu finden, untersuchten die Forscher drei Ransomware-Familien: Symbiote, Orbit und Red Alert Ransomware.

Den Forschern zufolge sind die wichtigsten Taktiken, auf die man sich konzentrieren sollte, MITRE TA0005 (Verteidigung) Invasion und TA0007 (Entdeckung). Die oben genannte Taktik steht für Ereignisse zu einem frühen Zeitpunkt in der Angriffskette. Wenn sie rechtzeitig erkannt wird, können die Verteidiger dazu beitragen, Aktivitäten wie Zugriffsberechtigungen, seitliche Bewegungen oder Querbewegungen abzuschwächen. Sie hilft auch dabei, einen Angriff zu entschärfen, bevor eine Ransomware-Nutzlast gestartet wird.

Taktiken, Techniken und Verfahren (TTPs), die von Angreifern zur Umgehung der Erkennung eingesetzt werden, verwenden Tools wie cURL und Wget, die zum Abrufen von Dateien verwendet werden, Proxy-Skripte, insbesondere SOCKS5-Proxys, Reverse oder andere, und Toolkits.

Die Forscher wiesen darauf hin, dass Angreifer jetzt virtuelle Umgebungen VMs in der privaten Cloud ins Visier nehmen. Die Angreifer zielen auf die Hypervisoren ab, um die gesamte VM-Infrastruktur zu kompromittieren, anstatt die Datei auf einer einzelnen virtuellen Maschine zu verschlüsseln.

Sie fanden heraus, dass zwei der größten Ransomware-Familien (LockBit und BlackBasta) jetzt sowohl ESXi-spezifische als auch Linux-Varianten für die Verschlüsselung haben.

Zu den Gegenmaßnahmen zum Schutz vor diesen Angriffen gehören die Vorbereitung auf einen möglichen Angriff und die Durchführung von Purple-Team-Tests zur Nachahmung von Bedrohungsakteuren, zur Ermittlung der Wirksamkeit und zur Bewertung von Lücken.

Zu den weiteren Tipps gehören die Vermeidung der Verwendung allgemeiner Playbooks zum Schutz vor Ransomware, die frühzeitige und häufige Bewertung von Wiederherstellungsplänen und -maßnahmen, die Anwendung eines Null-Vertrauens-Ansatzes für den Netzwerk- und Datenzugriff, die Reduzierung der Angriffsfläche und die Anwendung einer Richtlinie mit den geringsten Privilegien sowie die rechtzeitige Anwendung von Patches.

Zu den Quellen für diesen Artikel gehört ein Artikel in BlackBerry.