El criptojacking está regresando lentamente, y los atacantes utilizan una variedad de esquemas para extraer potencia de procesamiento gratuita de la infraestructura de la nube y centrarse en la extracción de criptomonedas como Bitcoin y Monero.
Los criptomineros están utilizando la disponibilidad de pruebas gratuitas en algunos de los mayores servicios de integración e implementación continua (CI/CD) para implementar código y crear plataformas de minería distribuidas, según Sysdig, un proveedor de seguridad para servicios nativos de la nube. Los atacantes también se dirigen a instancias de Kubernetes y Docker mal configuradas para obtener acceso a los sistemas host y ejecutar software de criptominería, advirtió esta semana la firma de servicios de ciberseguridad CrowdStrike.
En realidad, ambas tácticas solo intentan sacar provecho del aumento de las monedas digitales a expensas de otros, dice Manoj Ahuje, investigador senior de amenazas para seguridad en la nube en CrowdStrike.
"Mientras la carga de trabajo comprometida esté disponible, en esencia, se trata de computación gratuita; para un criptominero, eso es una victoria en sí misma, ya que su costo de entrada se vuelve cero", afirma. "Y... si un atacante puede comprometer una gran cantidad de estas cargas de trabajo de manera efectiva mediante el crowdsourcing de la computación para la minería, ayudará a alcanzar el objetivo más rápido y extraer más en la misma cantidad de tiempo".
Los esfuerzos de criptominería aumentan con el tiempo, incluso cuando el valor de las criptomonedas se ha desplomado en los últimos 11 meses. Bitcoin, por ejemplo, es un 70% menos que su máximo en noviembre de 2021, afectando a muchos servicios basados en criptomonedas. Sin embargo, los últimos ataques muestran que los ciberdelincuentes buscan quedarse con la fruta más fácil.
Es posible que comprometer la infraestructura de la nube de los proveedores no parezca perjudicar a las empresas, pero el costo de esos ataques se reducirá. Sysdig descubrió que el atacante normalmente solo gana $1 por cada $53 de costo a cargo de los propietarios de la infraestructura en la nube. Extraer una sola moneda Monero mediante pruebas gratuitas en GitHub, por ejemplo, le costaría a esa empresa más de 100,000 dólares en ingresos perdidos, estimó Sysdig.
Sin embargo, es posible que las empresas inicialmente no vean el daño de la criptominería, dice Crystal Morin, investigadora de amenazas de Sysdig.
“No están dañando a nadie directamente, como por ejemplo tomando la infraestructura de alguien o robando datos de las empresas, pero si ampliaran esto, u otros grupos aprovecharan este tipo de operación ('freejacking') podría comenzar a perjudicar financieramente a estos proveedores. e impacta, en el back-end, a los usuarios, ya que las pruebas gratuitas desaparecen o se obliga a los usuarios legítimos a pagar más”, dice.
Criptomineros en todas partes
El último ataque, que Sysdig denominó PURPLEURCHIN, parece ser un esfuerzo por crear una red de criptominería a partir de tantos servicios como sea posible que ofrezcan pruebas gratuitas. Los investigadores de Sysdig descubrieron que la última red de criptominería utilizaba 30 cuentas de GitHub, 2,000 cuentas de Heroku y 900 cuentas de Buddy. El grupo de ciberdelincuentes descarga un contenedor Docker, ejecuta un programa JavaScript y lo carga en un contenedor específico.
El éxito del ataque está realmente impulsado por los esfuerzos del grupo cibercriminal por automatizar tanto como sea posible, dice Michael Clark, director de investigación de amenazas de Sysdig.
"Realmente han automatizado la actividad de acceso a nuevas cuentas", afirma. “Usan bypass CAPTCHA, los visuales y las versiones de audio. Crean nuevos dominios y alojan servidores de correo electrónico en la infraestructura que han construido. Es todo modular, por lo que crean un montón de contenedores en un host virtual”.
GitHub, por ejemplo, ofrece 2,000 minutos gratuitos de GitHub Action por mes en su nivel gratuito, lo que podría representar hasta 33 horas de tiempo de ejecución para cada cuenta, afirmó Sysdig en su análisis.
Besar a un perro
La campaña de criptojacking CrowdStrike descubierto apunta a la infraestructura vulnerable de Docker y Kubernetes. Llamada campaña Kiss-a-Dog, los criptomineros utilizan múltiples servidores de comando y control (C2) para mayor resiliencia, utilizando rootkits para evitar la detección. Incluye una variedad de otras capacidades, como colocar puertas traseras en cualquier contenedor comprometido y usar otras técnicas para ganar persistencia.
Las técnicas de ataque se parecen a las de otros grupos investigados por CrowdStrike, incluidos LemonDuck y Watchdog. Pero la mayoría de las tácticas son similares a TeamTNT, que también apuntó a infraestructuras vulnerables y mal configuradas de Docker y Kubernetes, afirmó CrowdStrike en su aviso.
Si bien estos ataques pueden no parecer una infracción, las empresas deberían tomar en serio cualquier señal de que los atacantes tienen acceso a su infraestructura de nube, dice Ahuje de CrowdStrike.
"Cuando los atacantes ejecutan un criptominero en su entorno, es un síntoma de que su primera línea de defensa ha fallado", afirma. "Los criptomineros no escatiman esfuerzos para explotar esta superficie de ataque en su beneficio".
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
