Cryptojacking er på vej tilbage, hvor angribere bruger en række forskellige ordninger til at frigøre processorkraft fra cloud-infrastruktur for at fokusere på minedrift af kryptovalutaer såsom Bitcoin og Monero.
Cryptominers bruger tilgængeligheden af gratis prøveversioner på nogle af de største kontinuerlige integrations- og implementeringstjenester (CI/CD) til at implementere kode og skabe distribuerede mineplatforme, ifølge Sysdig, en udbyder af sikkerhed til cloud-native tjenester. Angribere er også målrettet mod forkert konfigurerede Kubernetes- og Docker-instanser for at få adgang til værtssystemerne og køre kryptomineringssoftware, advarede cybersikkerhedstjenestefirmaet CrowdStrike i denne uge.
Begge taktikker forsøger egentlig bare at tjene penge på stigningen i digitale valutaer på andres bekostning, siger Manoj Ahuje, senior trusselforsker for cloud-sikkerhed hos CrowdStrike.
"Så længe den kompromitterede arbejdsbyrde er tilgængelig, er det i bund og grund gratis beregning - for en kryptominer er det en gevinst i sig selv, da hans inputomkostninger bliver nul," siger han. "Og ... hvis en angriber effektivt kan kompromittere et stort antal af sådanne arbejdsbelastninger ved at crowdsourcing computeren til minedrift, hjælper det med at nå målet hurtigere og mine mere på samme tid."
Indsatsen for kryptominering øges over tid, selvom værdien af kryptovalutaer er faldet i de seneste 11 måneder. Bitcoin er for eksempel et fald på 70 % fra toppen i november 2021, der påvirker mange cryptocurrency-baserede tjenester. De seneste angreb viser dog, at cyberkriminelle søger at plukke den lavest hængende frugt.
At kompromittere udbyderes cloud-infrastruktur ser måske ikke ud til at skade virksomheder, men omkostningerne ved sådanne hacks vil sive ned. Sysdig fandt typisk den angriber tjen kun $1 for hver $53 af omkostninger båret af ejerne af cloud-infrastrukturen. At udvinde en enkelt Monero-mønt ved at bruge gratis prøveversioner på GitHub vil for eksempel koste virksomheden mere end $100,000 i tabt omsætning, vurderede Sysdig.
Alligevel kan virksomheder i første omgang ikke se skaden ved kryptominering, siger Crystal Morin, en trusselsforsker ved Sysdig.
"De skader ikke nogen direkte, såsom at tage nogens infrastruktur eller stjæle data fra virksomheder, men hvis de skulle skalere dette op, eller andre grupper udnyttede denne type operation - 'freejacking' - kunne det begynde at skade disse udbydere økonomisk. og påvirke brugerne – på bagsiden – med gratis prøveversioner, der forsvinder eller tvinger legitime brugere til at betale mere,” siger hun.
Cryptominers overalt
Det seneste angreb, som Sysdig døbte PURPLEURCHIN, ser ud til at være et forsøg på at samle et kryptomineringsnetværk fra så mange tjenester som muligt, der tilbyder gratis prøveversioner. Sysdigs forskere opdagede, at det seneste kryptomineringsnetværk brugte 30 GitHub-konti, 2,000 Heroku-konti og 900 Buddy-konti. Den cyberkriminelle gruppe downloader en Docker-container, kører et JavaScript-program og indlæser i en bestemt container.
Succesen med angrebet er virkelig drevet af den cyberkriminelle gruppes bestræbelser på at automatisere så meget som muligt, siger Michael Clark, direktør for trusselsforskning for Sysdig.
"De har virkelig automatiseret aktiviteten med at komme ind på nye konti," siger han. "De bruger CAPTCHA bypass, de visuelle og lydversionerne. De opretter nye domæner og hoster e-mail-servere på den infrastruktur, de har bygget. Det hele er modulært, så de spinder en masse containere op på en virtuel vært."
GitHub, for eksempel, tilbyder 2,000 gratis GitHub Action-minutter om måneden på dets gratis niveau, som kan stå for op til 33 timers køretid for hver konto, udtalte Sysdig i sin analyse.
Kys-en-hund
Cryptojacking-kampagnen CrowdStrike opdaget retter sig mod sårbar Docker- og Kubernetes-infrastruktur. Kaldet Kiss-a-Dog-kampagnen, bruger kryptominerne flere kommando-og-kontrol-servere (C2) til modstandsdygtighed ved at bruge rootkits for at undgå opdagelse. Det omfatter en række andre muligheder, såsom at placere bagdøre i alle kompromitterede containere og bruge andre teknikker til at opnå vedholdenhed.
Angrebsteknikkerne ligner dem fra andre grupper, der er undersøgt af CrowdStrike, inklusive LemonDuck og Watchdog. Men de fleste af taktikken ligner TeamTNT, som også var rettet mod sårbare og fejlkonfigurerede Docker- og Kubernetes-infrastrukturer, udtalte CrowdStrike i sin rådgivning.
Selvom sådanne angreb måske ikke føles som et brud, bør virksomheder tage alvorlige tegn på, at angribere har adgang til deres cloud-infrastruktur, siger CrowdStrikes Ahuje.
"Når angribere kører en kryptominer i dit miljø, er dette et symptom på, at din første forsvarslinje har fejlet," siger han. "Kryptominers lader ingen sten stå uvendt for at udnytte denne angrebsoverflade til deres fordel."
