Peneliti Cybersecurity telah mengidentifikasi kampanye gigih dan ambisius yang menargetkan ribuan server Docker setiap hari dengan Bitcoin (BTC) penambang.
Dalam sebuah laporan diterbitkan pada 3 April, Aqua Security mengeluarkan peringatan ancaman atas serangan itu, yang seolah-olah "telah berlangsung berbulan-bulan, dengan ribuan upaya terjadi hampir setiap hari." Para peneliti memperingatkan:
"Ini adalah angka tertinggi yang pernah kita lihat dalam beberapa waktu, jauh melebihi apa yang kita saksikan sampai saat ini."
Lingkup dan ambisi seperti itu menunjukkan bahwa kampanye penambangan Bitcoin ilegal sepertinya tidak akan menjadi “upaya improvisasi,” karena para aktor di baliknya harus bergantung pada sumber daya dan infrastruktur yang signifikan.
Kinsing volume serangan malware, Desember 2019-Maret 2020. Sumber: Blog Aqua Security
Menggunakan alat analisis virusnya, Aqua Security telah mengidentifikasi malware sebagai agen Linux berbasis Golang, yang dikenal sebagai Kinsing. Malware menyebar dengan mengeksploitasi kesalahan konfigurasi di port API Docker. Itu menjalankan wadah Ubuntu, yang mengunduh Kinsing dan kemudian mencoba untuk menyebarkan malware ke wadah dan host lebih lanjut.
Tujuan akhir kampanye - dicapai dengan terlebih dahulu mengeksploitasi pelabuhan terbuka dan kemudian melakukan serangkaian taktik penghindaran - adalah untuk menyebarkan penambang crypto pada tuan rumah yang dikompromikan, kata para peneliti.
Infografis menunjukkan aliran penuh serangan Kinsing. Sumber: Blog Aqua Security
Tim keamanan perlu meningkatkan permainan mereka, kata Aqua
Studi Aqua memberikan wawasan terperinci ke dalam komponen kampanye malware, yang menonjol sebagai contoh kuat dari apa yang diklaim perusahaan adalah "ancaman yang berkembang terhadap lingkungan asli cloud."
Para penyerang meningkatkan permainan mereka untuk meningkatkan serangan yang lebih canggih dan ambisius, catat para peneliti. Sebagai tanggapan, tim keamanan perusahaan perlu mengembangkan strategi yang lebih kuat untuk mengurangi risiko baru ini.
Di antara rekomendasinya, Aqua mengusulkan agar tim mengidentifikasi semua sumber daya cloud dan mengelompokkannya dalam struktur logis, meninjau kebijakan otorisasi dan otentikasi mereka, dan menyesuaikan kebijakan keamanan dasar sesuai dengan prinsip "privilege terendah."
Tim juga harus menyelidiki log untuk menemukan tindakan pengguna yang mendaftar sebagai anomali, serta mengimplementasikan alat keamanan cloud untuk memperkuat strategi mereka.
Menumbuhkan kesadaran
Bulan lalu, unicorn yang berbasis di Singapura memulai Acronis diterbitkan hasil survei keamanan siber terbaru. Ini mengungkapkan bahwa 86% profesional TI khawatir tentang cryptojacking - istilah industri untuk praktik menggunakan kekuatan pemrosesan komputer untuk tambang untuk cryptocurrency tanpa persetujuan atau pengetahuan pemilik.