Los investigadores de ciberseguridad han identificado una campaña persistente y ambiciosa que apunta a miles de servidores Docker diariamente con un Bitcoin (BTC) minero.
En un informe publicado el 3 de abril, Aqua Security emitió una alerta de amenaza sobre el ataque, que aparentemente "ha estado sucediendo durante meses, con miles de intentos casi a diario". Los investigadores advierten:
"Estas son las cifras más altas que hemos visto en mucho tiempo, superando con creces lo que hemos presenciado hasta la fecha".
Tal alcance y ambición indican que es poco probable que la campaña de minería ilícita de Bitcoin sea "un esfuerzo improvisado", ya que los actores detrás de ella deben depender de importantes recursos e infraestructura.
Volúmenes de ataques de malware de Kinsing, diciembre de 2019-marzo de 2020. Fuente: Blog de Aqua Security
Utilizando sus herramientas de análisis de virus, Aqua Security ha identificado el malware como un agente de Linux basado en Golang, conocido como Kinsing. El malware se propaga explotando las configuraciones incorrectas en los puertos de Docker API. Ejecuta un contenedor de Ubuntu, que descarga Kinsing y luego intenta propagar el malware a otros contenedores y hosts.
El objetivo final de la campaña, logrado explotando primero el puerto abierto y luego llevando a cabo una serie de tácticas de evasión, es desplegar un minero de cifrado en el host comprometido, dicen los investigadores.
Infografía que muestra el flujo completo de un ataque de Kinsing. Fuente: Blog de Aqua Security
Los equipos de seguridad necesitan mejorar su juego, dice Aqua
El estudio de Aqua proporciona información detallada sobre los componentes de la campaña de malware, que se destaca como un ejemplo contundente de lo que la empresa afirma es "la creciente amenaza para los entornos nativos de la nube".
Los atacantes están mejorando su juego para montar ataques cada vez más sofisticados y ambiciosos, señalan los investigadores. En respuesta, los equipos de seguridad empresarial deben desarrollar una estrategia más sólida para mitigar estos nuevos riesgos.
Entre sus recomendaciones, Aqua propone que los equipos identifiquen todos los recursos de la nube y los agrupen en una estructura lógica, revisen sus políticas de autorización y autenticación, y ajusten las políticas básicas de seguridad de acuerdo con el principio del "mínimo privilegio".
Los equipos también deben investigar registros para localizar acciones de los usuarios que se registren como anomalías, así como implementar herramientas de seguridad en la nube para fortalecer su estrategia.
Conciencia creciente
El mes pasado, la startup de unicornios con sede en Singapur Acronis publicado Los resultados de su última encuesta de ciberseguridad. Reveló que el 86% de los profesionales de TI están preocupados por el cryptojacking, el término de la industria para la práctica de usar la potencia de procesamiento de una computadora para mina para criptomonedas sin el consentimiento o conocimiento del propietario.