Las amenazas contra la infraestructura nativa de la nube van en aumento, particularmente porque los atacantes se dirigen a los recursos de la nube y los contenedores para impulsar sus operaciones ilícitas de criptominería. En el último giro, los ciberdelincuentes están causando estragos en los recursos de la nube tanto para propagar como para ejecutar empresas de cryptojacking en esquemas costosos que les cuestan a las víctimas alrededor de $ 50 en recursos de la nube por cada $ 1 en criptomonedas que los delincuentes extraen de estas reservas informáticas.
Eso es según un nuevo informe publicado hoy por Sysdig, que muestra que si bien los malos atacarán indiscriminadamente cualquier nube débil o recurso de contenedor que puedan tener en sus manos para impulsar los esquemas de criptominería para generar dinero, también son inteligentemente estratégicos al respecto.
De hecho, muchos de los ataques a la cadena de suministro de software más astutos están diseñados en gran parte para generar criptomineros a través de imágenes de contenedores infectados. Los atacantes no solo aprovechan las dependencias del código fuente en las que se piensa más comúnmente en los ataques ofensivos de la cadena de suministro, sino que también aprovechan las imágenes de contenedores maliciosos como un vehículo de ataque eficaz, según Sysdig.Informe de amenazas nativas de la nube de 2022."
Los ciberdelincuentes se están aprovechando de la tendencia dentro de la comunidad de desarrollo para compartir código y proyectos de código abierto a través de imágenes de contenedores prefabricadas a través de registros de contenedores como Docker Hub. Las imágenes de contenedor tienen todo el software necesario instalado y configurado en una carga de trabajo fácil de implementar. Si bien eso es un gran ahorro de tiempo para los desarrolladores, también abre un camino para que los atacantes creen imágenes que tienen cargas maliciosas integradas y luego sembran plataformas como DockerHub con sus productos maliciosos. Todo lo que se necesita es que un desarrollador ejecute una solicitud de extracción de Docker desde la plataforma para ejecutar esa imagen maliciosa. Además, la descarga e instalación de Docker Hub es opaca, lo que dificulta aún más detectar posibles problemas.
"Está claro que las imágenes de contenedores se han convertido en un vector de ataque real, en lugar de un riesgo teórico", explicó el informe, para el cual el Equipo de Investigación de Amenazas (TRT) de Sysdig pasó por un proceso de meses de cribado a través de imágenes de contenedores públicos cargadas por usuarios de todo el mundo en DockerHub para encontrar instancias maliciosas. “Los métodos empleados por los actores maliciosos descritos por Sysdig TRT están dirigidos específicamente a las cargas de trabajo en la nube y los contenedores”.
La búsqueda del equipo reveló más de 1,600 imágenes maliciosas que contenían criptomineros, puertas traseras y otro malware malicioso disfrazado de software popular legítimo. Los criptomineros fueron de lejos los más frecuentes, representando el 36% de las muestras.
“Los equipos de seguridad ya no pueden engañarse con la idea de que 'los contenedores son demasiado nuevos o demasiado efímeros para que los actores de amenazas se molesten'”, dice Stefano Chierici, investigador principal de seguridad de Sysdig y coautor del informe. “Los atacantes están en la nube y están tomando dinero real. La alta prevalencia de la actividad de cryptojacking se atribuye al bajo riesgo y la alta recompensa para los perpetradores".
TeamTNT y Quimera
Como parte del informe, Chierici y sus colegas también realizaron un análisis técnico profundo de las tácticas, técnicas y procedimientos (TTP) del grupo de amenazas TeamTNT. Activo desde 2019, el grupo, según algunas fuentes, ha comprometido más de 10,000 2022 dispositivos en la nube y contenedores durante una de sus campañas de ataque más frecuentes, Chimera. Es mejor conocido por la actividad del gusano cryptojacking y, según el informe, TeamTNT continúa refinando sus scripts y sus TTP en 2. Por ejemplo, ahora conecta scripts con el servicio de metadatos en la nube de AWS para aprovechar las credenciales asociadas con una instancia ECXNUMX y obtener acceso a otros recursos vinculados a una instancia comprometida.
“Si hay permisos excesivos asociados con estas credenciales, el atacante podría obtener aún más acceso. Sysdig TRT cree que TeamTNT querría aprovechar estas credenciales, si es posible, para crear más instancias EC2 para poder aumentar sus capacidades y ganancias de criptominería”, dice el informe.
Como parte de su análisis, el equipo investigó varias billeteras XMR utilizadas por TeamTNT durante las campañas de minería para determinar el impacto financiero del cryptojacking.
Mediante el análisis técnico de las prácticas operativas del grupo de amenazas durante la operación Chimera, Sysdig pudo descubrir que el adversario le costó a sus víctimas $11,000 2 en una única instancia de AWS EC40 por cada XMR que extrajo. Las billeteras que el equipo recuperó ascendieron a unos 430,000 XMR, lo que significa que los atacantes generaron una factura en la nube de casi $ XNUMX para extraer esas monedas.
Usando la valoración de monedas de principios de este año, el informe estimó que el valor de esas monedas equivale a alrededor de $ 8,100, con cifras en el reverso del sobre que luego muestran que por cada dólar que ganan los malos, les cuestan a las víctimas al menos $ 53 solo en facturas de nube.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
