Il cryptojacking sta tornando lentamente, con gli aggressori che utilizzano una varietà di schemi per sottrarre potenza di elaborazione gratuita dall’infrastruttura cloud per concentrarsi sull’estrazione di criptovalute come Bitcoin e Monero.
Secondo Sysdig, un fornitore di sicurezza per servizi nativi del cloud, i cryptominer stanno sfruttando la disponibilità di prove gratuite su alcuni dei più grandi servizi di integrazione e distribuzione continua (CI/CD) per distribuire codice e creare piattaforme di mining distribuite. Gli aggressori vengono presi di mira anche su istanze Kubernetes e Docker configurate in modo errato per ottenere l'accesso ai sistemi host ed eseguire software di cryptomining, ha avvertito questa settimana la società di servizi di sicurezza informatica CrowdStrike.
Entrambe le tattiche in realtà cercano solo di trarre profitto dall’ascesa delle valute digitali a spese di qualcun altro, afferma Manoj Ahuje, ricercatore senior sulle minacce per la sicurezza del cloud presso CrowdStrike.
"Finché il carico di lavoro compromesso è disponibile, in sostanza, si tratta di calcolo gratuito: per un cryptominer, questo è di per sé una vittoria poiché il suo costo di input diventa zero", afferma. "E... se un utente malintenzionato riesce a compromettere in modo efficace un gran numero di carichi di lavoro di questo tipo ricorrendo al crowdsourcing del calcolo per il mining, ciò aiuta a raggiungere l'obiettivo più velocemente e ad estrarre di più nello stesso lasso di tempo."
Gli sforzi di cryptomining sono aumentati nel tempo, anche se il valore delle criptovalute è crollato negli ultimi 11 mesi. Bitcoin, ad esempio, lo è in calo del 70% rispetto al picco di novembre 2021, influenzando molti servizi basati su criptovaluta. Tuttavia, gli attacchi più recenti mostrano che i criminali informatici stanno cercando di cogliere i frutti più bassi.
Potrebbe sembrare che la compromissione dell’infrastruttura cloud dei fornitori non danneggi le aziende, ma il costo di tali attacchi informatici diminuirà. Sysdig ha riscontrato che l'aggressore in genere guadagna solo $ 1 per ogni $ 53 di costo a carico dei proprietari dell’infrastruttura cloud. Ad esempio, l’estrazione di una singola moneta Monero utilizzando prove gratuite su GitHub costerebbe all’azienda più di 100,000 dollari in entrate perse, ha stimato Sysdig.
Tuttavia, inizialmente le aziende potrebbero non vedere i danni del cryptomining, afferma Crystal Morin, ricercatrice di minacce presso Sysdig.
"Non stanno danneggiando nessuno direttamente, ad esempio prendendo l'infrastruttura di qualcuno o rubando dati alle aziende, ma se dovessero ampliare l'operazione, o altri gruppi approfittassero di questo tipo di operazione - 'freejacking' - potrebbe iniziare a danneggiare finanziariamente questi fornitori e impatto, sul back-end, sugli utenti, con la scomparsa delle prove gratuite o la costrizione degli utenti legittimi a pagare di più", afferma.
Cryptominer ovunque
L'ultimo attacco, che Sysdig ha soprannominato PURPLEURCHIN, sembra essere un tentativo di mettere insieme una rete di criptomining dal maggior numero possibile di servizi che offrono prove gratuite. I ricercatori di Sysdig hanno scoperto che l'ultima rete di cryptomining utilizzava 30 account GitHub, 2,000 account Heroku e 900 account Buddy. Il gruppo di criminali informatici scarica un contenitore Docker, esegue un programma JavaScript e lo carica in un contenitore specifico.
Il successo dell’attacco è in realtà determinato dagli sforzi del gruppo criminale informatico di automatizzare il più possibile, afferma Michael Clark, direttore della ricerca sulle minacce per Sysdig.
"Hanno davvero automatizzato l'attività di accesso a nuovi account", afferma. “Utilizzano i bypass CAPTCHA, quelli visivi e le versioni audio. Creano nuovi domini e ospitano server di posta elettronica sull'infrastruttura che hanno costruito. È tutto modulare, quindi creano una serie di contenitori su un host virtuale."
GitHub, ad esempio, offre 2,000 minuti GitHub Action gratuiti al mese nel suo livello gratuito, che potrebbero rappresentare fino a 33 ore di autonomia per ogni account, ha affermato Sysdig nella sua analisi.
Bacia un cane
La campagna di cryptojacking CrowdStrike scoperto prende di mira le infrastrutture Docker e Kubernetes vulnerabili. Chiamata campagna Kiss-a-Dog, i cryptominer utilizzano più server di comando e controllo (C2) per la resilienza, utilizzando rootkit per evitare il rilevamento. Include una varietà di altre funzionalità, come l'inserimento di backdoor in eventuali contenitori compromessi e l'utilizzo di altre tecniche per ottenere persistenza.
Le tecniche di attacco assomigliano a quelle di altri gruppi indagati da CrowdStrike, tra cui LemonDuck e Watchdog. Ma la maggior parte delle tattiche sono simili a quelle di TeamTNT, che ha preso di mira anche le infrastrutture Docker e Kubernetes vulnerabili e mal configurate, ha affermato CrowdStrike nel suo avviso.
Anche se tali attacchi potrebbero non sembrare una violazione, le aziende dovrebbero prendere sul serio qualsiasi segnale che gli aggressori abbiano accesso alla loro infrastruttura cloud, afferma Ahuje di CrowdStrike.
"Quando gli aggressori eseguono un cryptominer nel tuo ambiente, questo è un sintomo che la tua prima linea di difesa ha fallito", afferma. "I cryptominer non lasciano nulla di intentato per sfruttare questa superficie di attacco a proprio vantaggio."
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
