Cryptojacking kembali terjadi, dengan penyerang menggunakan berbagai skema untuk mengambil kekuatan pemrosesan gratis dari infrastruktur cloud untuk fokus pada penambangan mata uang kripto seperti Bitcoin dan Monero.
Cryptominers menggunakan ketersediaan uji coba gratis pada beberapa layanan integrasi dan penerapan berkelanjutan (CI/CD) terbesar untuk menyebarkan kode dan membuat platform penambangan terdistribusi, menurut Sysdig, penyedia keamanan untuk layanan cloud-native. Penyerang juga menargetkan instance Kubernetes dan Docker yang salah dikonfigurasi untuk mendapatkan akses ke sistem host dan menjalankan perangkat lunak penambangan kripto, perusahaan layanan keamanan siber CrowdStrike memperingatkan minggu ini.
Kedua taktik tersebut sebenarnya hanya mencoba mengambil keuntungan dari kenaikan mata uang digital dengan mengorbankan pihak lain, kata Manoj Ahuje, peneliti ancaman senior untuk keamanan cloud di CrowdStrike.
โSelama beban kerja yang dikompromikan tersedia, pada dasarnya, ini adalah komputasi gratis โ bagi penambang kripto, hal ini merupakan sebuah kemenangan karena biaya inputnya menjadi nol,โ katanya. โDan โฆ jika penyerang dapat mengkompromikan sejumlah besar beban kerja tersebut secara efektif dengan melakukan crowdsourcing komputasi untuk penambangan, hal ini akan membantu mencapai tujuan lebih cepat dan menambang lebih banyak dalam jangka waktu yang sama.โ
Upaya penambangan kripto meningkat seiring berjalannya waktu, bahkan ketika nilai mata uang kripto telah anjlok dalam 11 bulan terakhir. Bitcoin, misalnya, adalah turun 70% dari puncaknya pada November 2021, memengaruhi banyak layanan berbasis mata uang kripto. Namun, serangan terbaru menunjukkan bahwa penjahat dunia maya berupaya mengambil risiko paling rendah.
Mengkompromikan infrastruktur cloud penyedia layanan mungkin tidak tampak merugikan bisnis, namun dampak dari peretasan tersebut akan berkurang. Sysdig menemukan penyerang itu biasanya hanya menghasilkan $1 untuk setiap $53 biaya ditanggung oleh pemilik infrastruktur cloud. Menambang satu koin Monero menggunakan uji coba gratis di GitHub, misalnya, akan membuat perusahaan tersebut kehilangan pendapatan lebih dari $100,000, perkiraan Sysdig.
Namun perusahaan mungkin pada awalnya tidak melihat dampak buruk dari penambangan kripto, kata Crystal Morin, peneliti ancaman di Sysdig.
โMereka tidak merugikan siapa pun secara langsung, seperti mengambil infrastruktur seseorang atau mencuri data dari perusahaan, namun jika mereka meningkatkan skalanya, atau kelompok lain mengambil keuntungan dari jenis operasi ini โ 'freejacking' โ hal ini dapat merugikan penyedia layanan secara finansial. dan dampaknya โ di sisi belakang โ pengguna, dengan hilangnya uji coba gratis atau memaksa pengguna yang sah untuk membayar lebih,โ katanya.
Penambang Kripto Di Mana Saja
Serangan terbaru, yang oleh Sysdig dijuluki PURPLEURCHIN, tampaknya merupakan upaya untuk menyatukan jaringan penambangan kripto dari sebanyak mungkin layanan yang menawarkan uji coba gratis. Peneliti Sysdig menemukan bahwa jaringan penambangan kripto terbaru menggunakan 30 akun GitHub, 2,000 akun Heroku, dan 900 akun Buddy. Kelompok penjahat dunia maya mengunduh container Docker, menjalankan program JavaScript, dan memuatnya ke dalam container tertentu.
Keberhasilan serangan ini benar-benar didorong oleh upaya kelompok penjahat dunia maya untuk melakukan otomatisasi sebanyak mungkin, kata Michael Clark, direktur penelitian ancaman di Sysdig.
โMereka benar-benar mengotomatiskan aktivitas masuk ke akun baru,โ katanya. โMereka menggunakan bypass CAPTCHA, versi visual dan audio. Mereka membuat domain baru, dan menghosting server email pada infrastruktur yang mereka bangun. Semuanya bersifat modular, jadi mereka membuat banyak container di host virtual.โ
GitHub, misalnya, menawarkan 2,000 menit GitHub Action gratis per bulan pada tingkat gratisnya, yang dapat mencapai hingga 33 jam waktu berjalan untuk setiap akun, kata Sysdig dalam analisisnya.
Cium-a-Anjing
Kampanye pembajakan kripto CrowdStrike ditemukan menargetkan infrastruktur Docker dan Kubernetes yang rentan. Disebut kampanye Kiss-a-Dog, para penambang kripto menggunakan beberapa server perintah dan kontrol (C2) untuk ketahanan, menggunakan rootkit untuk menghindari deteksi. Ini mencakup berbagai kemampuan lainnya, seperti menempatkan pintu belakang di wadah mana pun yang disusupi dan menggunakan teknik lain untuk mendapatkan persistensi.
Teknik serangannya mirip dengan kelompok lain yang diselidiki oleh CrowdStrike, termasuk LemonDuck dan Watchdog. Namun sebagian besar taktiknya mirip dengan TeamTNT, yang juga menargetkan infrastruktur Docker dan Kubernetes yang rentan dan salah dikonfigurasi, kata CrowdStrike dalam sarannya.
Meskipun serangan semacam itu mungkin tidak terasa seperti pelanggaran, perusahaan harus menganggap serius setiap tanda bahwa penyerang memiliki akses ke infrastruktur cloud mereka, kata Ahuje dari CrowdStrike.
โKetika penyerang menjalankan cryptominer di lingkungan Anda, ini adalah gejala bahwa garis pertahanan pertama Anda telah gagal,โ katanya. โCryptominers tidak meninggalkan kebutuhan bisnis yang terlewat untuk mengeksploitasi permukaan serangan ini demi keuntungan mereka.โ
