Le cryptojacking est de retour, les attaquants utilisant divers schémas pour extraire gratuitement la puissance de traitement de l'infrastructure cloud afin de se concentrer sur l'extraction de crypto-monnaies telles que Bitcoin et Monero.
Les cryptomineurs utilisent la disponibilité d'essais gratuits sur certains des plus grands services d'intégration et de déploiement continus (CI/CD) pour déployer du code et créer des plates-formes de minage distribuées, selon Sysdig, un fournisseur de sécurité pour les services cloud natifs. Les attaquants ciblent également les instances Kubernetes et Docker mal configurées pour accéder aux systèmes hôtes et exécuter des logiciels de cryptominage, a averti cette semaine la société de services de cybersécurité CrowdStrike.
Les deux tactiques visent simplement à tirer profit de la montée des monnaies numériques aux dépens de quelqu'un d'autre, explique Manoj Ahuje, chercheur principal en matière de menaces pour la sécurité du cloud chez CrowdStrike.
"Tant que la charge de travail compromise est disponible, il s'agit essentiellement d'un calcul gratuit. Pour un cryptomineur, c'est une victoire en soi puisque son coût d'entrée devient nul", dit-il. "Et… si un attaquant peut compromettre efficacement un grand nombre de ces charges de travail en externalisant le calcul pour l'exploitation minière, cela permet d'atteindre l'objectif plus rapidement et d'exploiter davantage dans le même laps de temps."
Les efforts de cryptominage s’intensifient au fil du temps, même si la valeur des crypto-monnaies a plongé au cours des 11 derniers mois. Bitcoin, par exemple, est en baisse de 70 % par rapport à son pic de novembre 2021, affectant de nombreux services basés sur la crypto-monnaie. Cependant, les dernières attaques montrent que les cybercriminels cherchent à s’attaquer au fruit le plus facile à trouver.
La compromission de l'infrastructure cloud des fournisseurs ne semble peut-être pas nuire aux entreprises, mais le coût de tels piratages se répercutera. Sysdig a découvert que cet attaquant ne gagnez que 1 $ pour chaque tranche de 53 $ de coût supporté par les propriétaires de l’infrastructure cloud. L'exploitation d'une seule pièce Monero à l'aide d'essais gratuits sur GitHub, par exemple, coûterait à cette entreprise plus de 100,000 XNUMX dollars de perte de revenus, a estimé Sysdig.
Pourtant, les entreprises ne voient peut-être pas au départ les inconvénients du cryptomining, explique Crystal Morin, chercheuse en menaces chez Sysdig.
"Ils ne nuisent directement à personne, comme en prenant l'infrastructure de quelqu'un ou en volant des données aux entreprises, mais s'ils devaient intensifier cela, ou si d'autres groupes profitaient de ce type d'opération - 'freejacking' - cela pourrait commencer à nuire financièrement à ces fournisseurs. et impact – sur le back-end – sur les utilisateurs, avec la suppression des essais gratuits ou obligeant les utilisateurs légitimes à payer plus », dit-elle.
Des cryptomineurs partout
La dernière attaque, que Sysdig a baptisée PURPLEURCHIN, semble être une tentative de constituer un réseau de cryptominage à partir du plus grand nombre possible de services proposant des essais gratuits. Les chercheurs de Sysdig ont découvert que le dernier réseau de cryptominage utilisait 30 comptes GitHub, 2,000 900 comptes Heroku et XNUMX comptes Buddy. Le groupe cybercriminel télécharge un conteneur Docker, exécute un programme JavaScript et le charge dans un conteneur spécifique.
Le succès de l'attaque dépend en réalité des efforts du groupe cybercriminel pour automatiser autant que possible, explique Michael Clark, directeur de la recherche sur les menaces chez Sysdig.
«Ils ont vraiment automatisé l'activité d'accès à de nouveaux comptes», dit-il. «Ils utilisent les contournements CAPTCHA, les versions visuelles et audio. Ils créent de nouveaux domaines et hébergent des serveurs de messagerie sur l'infrastructure qu'ils ont construite. Tout est modulaire, donc ils font tourner un tas de conteneurs sur un hôte virtuel.
GitHub, par exemple, propose 2,000 33 minutes d'action GitHub gratuites par mois sur son niveau gratuit, ce qui pourrait représenter jusqu'à XNUMX heures d'exécution pour chaque compte, a déclaré Sysdig dans son analyse.
Embrasser un chien
La campagne de cryptojacking CrowdStrike découvert cible les infrastructures Docker et Kubernetes vulnérables. Appelée campagne Kiss-a-Dog, les cryptomineurs utilisent plusieurs serveurs de commande et de contrôle (C2) pour plus de résilience, en utilisant des rootkits pour éviter d'être détectés. Il inclut une variété d'autres fonctionnalités, telles que le placement de portes dérobées dans tout conteneur compromis et l'utilisation d'autres techniques pour gagner en persistance.
Les techniques d'attaque ressemblent à celles d'autres groupes étudiés par CrowdStrike, notamment LemonDuck et Watchdog. Mais la plupart des tactiques sont similaires à celles de TeamTNT, qui ciblait également les infrastructures Docker et Kubernetes vulnérables et mal configurées, a déclaré CrowdStrike dans son avis.
Même si de telles attaques ne ressemblent pas à une violation, les entreprises doivent prendre au sérieux tout signe indiquant que des attaquants ont accès à leur infrastructure cloud, déclare Ahuje de CrowdStrike.
«Lorsque des attaquants exécutent un cryptomineur dans votre environnement, c'est le symptôme que votre première ligne de défense a échoué», dit-il. "Les cryptomineurs ne ménagent aucun effort pour exploiter cette surface d'attaque à leur avantage."
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
