В России массово переходят на отечественные операционные системы: ожидается, что к концу 2025 года большинство госкомпаний сократят долю ОС на базе Windows c 95% до 50%, заменив ее на Linux.
Даже к самой безопасной ОС можно найти «ключ». И злоумышленники находят его, адаптируя инструменты для атак на Linux-системы.
Как атакуют злоумышленники
Самый популярный вектор — вредоносные и фишинговые рассылки. Часто атакующие используют архив с паролем, в котором скрывается вредоносное ПО. Оно может быть разработано специально под ОС на базе Linux.
Опасные вложения маскируют под важные документы: запрос в бухгалтерию, договор, поручение от федерального органа.
Еще одна потенциальная угроза — ссылки в письмах: они могут вести к загрузке вредоносного ПО или фишинговой форме для кражи логинов и паролей сотрудников.
Опасности скрываются не только во входящих письмах: ВПО копируют со сторонних носителей, передают через мессенджеры, скачивают с сайтов. Также злоумышленник может добавить ВПО в корпоративный файлообменник во время атаки шифровальщика.
Свежие угрозы по данным аналитиков F6:
● Бэкдор DinodasRAT имеет версии под Windows и Linux, на него с 2023 года перешла Earth Krahang — эта группа нацелена на правительственные учреждения по всему миру.
● Программа-вымогатель Babuk — ее злоумышленники используют для шифрования данных в Linux-системах. Этот инструмент применяет группа Cyber Anarchy Squad (C.A.S), которая в ноябре 2024 зашифровала инфраструктуру компании из сферы спорта.
● Инструмент SUDO_KILLER для повышения привилегий в среде Linux путем злоупотребления sudo. Его в атаках использовала группировка Shadow.
Массовый переход на отечественные ОС — повод для злоумышленников создавать больше нацеленных на Linux-системы инструментов.
Разбор угроз для Linux на реальных кейсах →
Количество целевых атак на госсектор растет. Как защититься?
От стандартных угроз защищают антивирусы и другие классические средства защиты. Но они не помогут, если компанию атакуют целенаправленно и новыми методами.
Новые и сложные угрозы позволяют обнаружить «песочницы». Они проверяют, не опасен ли документ из почты или мессенджера, не приведет ли ссылка к началу атаки.
Можно использовать публичные онлайн-песочницы — простой, но опасный путь. Стоит загрузить в них документ с персональными данными, и ими смогут воспользоваться злоумышленники и конкуренты.
Безопасный вариант для потоковой проверки — sandbox от доверенных ИБ-вендоров.
Пример такого решения — F6 Malware Detonation Platform. Теперь в нем доступен анализ файлов в Linux-окружении. Поддерживает не только ОС Windows, но и отечественный образ Astra Linux, можно развернуть в защищенном облаке или локально. Продукт соответствует требованиям российского законодательства.
Что делает F6 MDP:
● Останавливает сложные атаки на раннем этапе. Если файл или ссылка признаны вредоносными, они блокируются до взаимодействия с пользователем, а команда ИБ получает полный отчет о работе ВПО — это помогает предотвратить развитие атаки.
● Позволяет гибко настроить виртуальную среду: эмулирует действия пользователя, использует актуальные версии ПО, домены, имена пользователей и параметры ОС, чтобы детонировать даже те угрозы, что пытаются обходить песочницы.
● Интегрируется с SIEM/SOAR, работает как самостоятельно, так и в составе решения F6 Managed XDR для комплексной защиты. Находит угрозы, недетектируемые другими ИБ-решениями.
● Формирует граф процессов, отображает системные вызовы, артефакты активности ВПО. В отчетах указываются TTP, IOC и IOA, а также производится атрибуция на основе данных из F6 TI для проактивного поиска угроз.
Защита от неизвестного вредоносного ПО и сложных угроз касается каждой компании. Не становитесь жертвой новой атаки — обезопасьте инфраструктуру сейчас!
Листая дальше, вы перейдете к решению F6 MDP — оставьте заявку и получите бесплатный пилот!