Ransomware: The trend is towards attacks on Linux servers

Trend Micro sees growth in ransomware attacks in the first half of 2022. Linux environments are 75 percent more likely to be targeted than in the same period last year.

In its current security report for the first half of 2022, Trend Micro observed a 75 percent increase in ransomware attacks on Linux-based machines compared to the first half of 2021. The Japanese security service provider thus sees forecasts in the "Midyear Cybersecurity Report" confirmed, in which more attacks on servers, server components and related services were predicted for 2022. Trend Micro cites various offers from RaaS (Ransomware-as-a-Service) groups, especially for VMware's ESXi hypervisor running on Linux.

Angriffe auf Linux-Systeme sind kein unbekanntes Phänomen, den Anstieg von 1121 in der ersten Hälfte von 2021 auf 1961 im ersten Halbjahr 2022 bewertet Trend Micro als Anfang eines Trends in den kommenden Jahren. Das sieht die Sicherheitsfirma durch das Auftreten mehrerer Tools bestätigt. Trend Micro führt an, dass seit 2021 RansomEXX für das Ausnutzen von Sicherheitslücken in ESXi bekannt ist und auch die Ransomware-Gruppe LockBit im vergangenen Jahr das Werkzeug LockBit Linux-ESXi Locker Version 1.0 ankündigte. Im Mai 2022 entdeckten Sicherheitsfirmen das Cheerscrypt, das auf das Verschlüsseln von Log-Datein und anderen VMware-Files ausgerichtet ist und sich für Erpressungsversuche nutzen lässt. Trend Micro warnt, dass gerade bei Attacken auf Linux-Servern häufig Unternehmens-Systeme betroffen sind und somit auch kritische Infrastruktur gefährdet sei.

Im ersten Halbjahr von 2022 stiegen die Angriffe auf Linux-basierte Systeme im Vergleich zum gleichen Zeitraum im Vorjahr um 75 Prozent. Trend Micro erkennt hierin eine Tendenz für die kommenden Jahre.

(Bild: Trend Micro)

Insbesondere Zero-Day-Schwachstellen und kritische Bugs stellen laut Trend Micro beliebte Angriffsvektoren dar. Die Zahl der Zero-Day-Sicherheitslücken sei im Vergleich zum Vorjahr um 23 Prozent gestiegen, die Zahl der kritischen Bugs gar um 400 Prozent. Gerade Cloud-Tunneling verwenden Angreifer laut Trend Micro gerne, um Malware-Datenverkehr zu routen oder Phishing-Websites zu hosten.

Erpressergruppen wie LockBit stellen sich immer professioneller auf und provozieren dabei auch mit dem Ankündigen eines Bug-Bounty-Programms für Schwachstellen in Systemen oder Spuren der eigenen Malware. Insgesamt wächst der Markt für Cyberkriminalität in Form von Services stark und erfreut sich großer Beliebtheit.

Der Sicherheitsbericht findet sich auf der Seite von Trend Micro, genauso wie auch der ganze „Midyear Cybersecurity Report„.