Krüptojakkimine hiilib tagasi, ründajad kasutavad mitmesuguseid skeeme, et saada pilveinfrastruktuurist vaba töötlemisvõimsust, et keskenduda krüptovaluutade, nagu Bitcoin ja Monero, kaevandamisele.
Vastavalt pilvepõhiste teenuste turvalisuse pakkuja Sysdigi andmetele kasutavad krüptokaevarid tasuta prooviversioonide kättesaadavust mõne suurima pideva integreerimise ja juurutamise (CI/CD) teenuste puhul, et juurutada koodi ja luua hajutatud kaevandusplatvorme. Ründajad sihivad ka valesti konfigureeritud Kubernetese ja Dockeri eksemplare, et saada juurdepääs hostsüsteemidele ja käitada krüptomineerimistarkvara, hoiatas sel nädalal küberturbeteenuste ettevõte CrowdStrike.
Mõlemad taktikad püüavad tegelikult lihtsalt raha teenida digitaalsete valuutade tõusu kellegi teise arvelt, ütleb Manoj Ahuje, CrowdStrike'i pilveturbe vanemohuteadur.
"Seni, kuni ohustatud töökoormus on saadaval, on see sisuliselt tasuta arvutamine – krüptomeerija jaoks on see omaette võit, kuna tema sisendkulu muutub nulliks," ütleb ta. "Ja … kui ründaja suudab kaevandamise jaoks arvutusi koondades tõhusalt ohustada suurt hulka selliseid töökoormusi, aitab see eesmärgini jõuda kiiremini ja sama ajaga rohkem kaevandada."
Krüptokaevandamine on aja jooksul suurenenud, isegi kui krüptovaluutade väärtus on viimase 11 kuu jooksul langenud. Bitcoin näiteks on 70% vähem kui 2021. aasta novembris, mis mõjutab paljusid krüptovaluutapõhiseid teenuseid. Viimased rünnakud näitavad aga, et küberkurjategijad soovivad ära korjata kõige madalamal rippuva vilja.
Paistab, et pakkujate pilvetaristu ohtu seadmine ei kahjusta ettevõtteid, kuid selliste häkkide kulud vähenevad. Sysdig leidis selle ründaja tavaliselt teenige iga 1 dollari eest ainult 53 dollar maksavad pilveinfrastruktuuri omanikud. Näiteks ühe Monero mündi kaevandamine GitHubi tasuta prooviversioonide abil läheks sellele ettevõttele maksma rohkem kui 100,000 XNUMX dollarit saamata jäänud tulu, hindas Sysdig.
Siiski ei pruugi ettevõtted esialgu näha krüptomise kahju, ütleb Sysdigi ohtude uurija Crystal Morin.
"Nad ei kahjusta otseselt kedagi, näiteks võtavad kellegi taristu või varastavad ettevõtetelt andmeid, kuid kui nad seda suurendaksid või muud rühmad kasutaksid seda tüüpi toimingut - "freejacking" - ära, võib see nendele pakkujatele rahaliselt haiget teha. ja mõju – tagaotsa – kasutajatele, tasuta prooviversioonid kaovad või sundides seaduslikke kasutajaid rohkem maksma, ”ütleb ta.
Krüptokaevurid kõikjal
Viimane rünnak, mille Sysdig nimetas PURPLEURCHINiks, näib olevat püüd luua krüptoimisvõrk võimalikult paljudest tasuta prooviversiooni pakkuvatest teenustest. Sysdigi teadlased avastasid, et uusim krüptomineerimisvõrk kasutas 30 GitHubi kontot, 2,000 Heroku kontot ja 900 Buddy kontot. Küberkurjategijate grupp laadib alla Dockeri konteineri, käivitab JavaScripti programmi ja laadib konkreetsesse konteinerisse.
Rünnaku edu taga on tegelikult küberkurjategijate rühmituse püüd automatiseerida nii palju kui võimalik, ütleb Sysdigi ohuuuringute direktor Michael Clark.
"Nad on uutele kontodele sisenemise tõesti automatiseerinud, " ütleb ta. "Nad kasutavad CAPTCHA ümbersõite, visuaalseid ja heliversioone. Nad loovad uusi domeene ja hostivad enda loodud infrastruktuuris meiliservereid. See kõik on modulaarne, nii et nad loovad virtuaalses hostis hunniku konteinereid.
Näiteks GitHub pakub oma tasuta tasemel 2,000 tasuta GitHubi toiminguminutit kuus, mis võib iga konto jaoks anda kuni 33 tundi tööaega, teatas Sysdig oma analüüsis.
Suudle koerale
Krüptorahastamise kampaania CrowdStrike avastas sihib haavatavat Dockeri ja Kubernetese infrastruktuuri. Kiss-a-Dog kampaaniaks kutsutud krüptokaevurid kasutavad vastupidavuse tagamiseks mitut käsu- ja juhtimisserverit (C2), kasutades tuvastamise vältimiseks juurkomplekte. See sisaldab mitmesuguseid muid võimalusi, nagu tagauste paigutamine mis tahes ohustatud konteineritesse ja muude tehnikate kasutamine püsivuse saavutamiseks.
Rünnakutehnikad sarnanevad teiste CrowdStrike'i uuritud rühmade omadega, sealhulgas LemonDuck ja Watchdog. Kuid enamik taktikaid on sarnased TeamTNT-ga, mis oli suunatud ka haavatavale ja valesti konfigureeritud Dockeri ja Kubernetese infrastruktuurile, teatas CrowdStrike oma nõuandes.
Kuigi sellised rünnakud ei pruugi tunduda rikkumisena, peaksid ettevõtted võtma tõsiselt kõiki märke, et ründajatel on juurdepääs nende pilveinfrastruktuurile, ütleb CrowdStrike'i Ahuje.
"Kui ründajad käivitavad teie keskkonnas krüptomeeri, on see sümptom, et teie esimene kaitseliin on ebaõnnestunud, " ütleb ta. "Krüptokaevandajad ei jäta kivi kivi peale, et seda rünnakupinda enda kasuks ära kasutada."
