Cybersicherheitsforscher haben eine anhaltende und ehrgeizige Kampagne identifiziert, die täglich mit einem Bitcoin auf Tausende von Docker-Servern abzielt (BTC) Bergmann.
In einem Bericht veröffentlicht Am 3. April gab Aqua Security einen Bedrohungsalarm über den Angriff heraus, der angeblich "seit Monaten andauert und bei dem täglich fast Tausende von Versuchen stattfinden". Die Forscher warnen:
"Dies sind die höchsten Zahlen, die wir seit einiger Zeit gesehen haben, weit über dem, was wir bisher gesehen haben."
Ein solcher Umfang und Ehrgeiz deuten darauf hin, dass die illegale Bitcoin-Bergbaukampagne wahrscheinlich kein „improvisiertes Unterfangen“ ist, da die dahinter stehenden Akteure auf erhebliche Ressourcen und Infrastruktur angewiesen sein müssen.
Verwandtschaftsvolumen von Malware-Angriffen, Dezember 2019 - März 2020. Quelle: Aqua Security Blog
Mit seinen Virenanalysetools hat Aqua Security die Malware als Golang-basierten Linux-Agenten namens Kinsing identifiziert. Die Malware verbreitet sich durch Ausnutzung von Fehlkonfigurationen in Docker-API-Ports. Es wird ein Ubuntu-Container ausgeführt, der Kinsing herunterlädt und dann versucht, die Malware auf weitere Container und Hosts zu übertragen.
Das Endziel der Kampagne - erreicht, indem zuerst der offene Hafen ausgenutzt und dann eine Reihe von Ausweichtaktiken durchgeführt wird - besteht darin, einen Crypto Miner auf dem kompromittierten Host einzusetzen, sagen die Forscher.
Infografik, die den vollen Ablauf eines Kinsing-Angriffs zeigt. Quelle: Aqua Security Blog
Sicherheitsteams müssen ihr Spiel verbessern, sagt Aqua
Die Studie von Aqua bietet detaillierte Einblicke in die Komponenten der Malware-Kampagne. Dies ist ein überzeugendes Beispiel dafür, was das Unternehmen als "wachsende Bedrohung für Cloud-native Umgebungen" bezeichnet.
Angreifer verbessern ihr Spiel, um immer ausgefeiltere und ehrgeizigere Angriffe durchzuführen, stellen die Forscher fest. Als Reaktion darauf müssen Unternehmenssicherheitsteams eine robustere Strategie entwickeln, um diese neuen Risiken zu minimieren.
Unter ihren Empfehlungen schlägt Aqua vor, dass Teams alle Cloud-Ressourcen identifizieren und in einer logischen Struktur gruppieren, ihre Autorisierungs- und Authentifizierungsrichtlinien überprüfen und grundlegende Sicherheitsrichtlinien nach dem Prinzip der „geringsten Berechtigung“ anpassen.
Die Teams sollten auch Protokolle untersuchen, um Benutzeraktionen zu finden, die als Anomalien registriert werden, und Cloud-Sicherheitstools implementieren, um ihre Strategie zu stärken.
Wachsendes Bewusstsein
Im vergangenen Monat startete das in Singapur ansässige Einhorn-Startup Acronis veröffentlicht die Ergebnisse seiner jüngsten Umfrage zur Cybersicherheit. Es zeigte sich, dass 86% der IT-Experten über Cryptojacking besorgt sind - der Branchenbegriff für die Praxis, die Rechenleistung eines Computers zu nutzen Bergwerk für Kryptowährungen ohne Zustimmung oder Wissen des Eigentümers.