I ricercatori di cybersecurity hanno identificato una campagna persistente e ambiziosa che mira quotidianamente a migliaia di server Docker con un Bitcoin (BTC) minatore.
In un rapporto pubblicato il 3 aprile, Aqua Security ha lanciato un avviso di minaccia sull'attacco, che è apparentemente "in corso da mesi, con migliaia di tentativi che si svolgono quasi quotidianamente". I ricercatori avvertono:
"Questi sono i numeri più alti che abbiamo visto in qualche tempo, superando di gran lunga ciò che abbiamo visto finora."
Tale portata e ambizione indicano che è improbabile che la campagna illecita di mining di Bitcoin sia "uno sforzo improvvisato", poiché gli attori dietro di essa devono fare affidamento su risorse e infrastrutture significative.
Kinsing dei volumi di attacchi malware, dicembre 2019-marzo 2020. Fonte: Blog di Aqua Security
Utilizzando i suoi strumenti di analisi dei virus, Aqua Security ha identificato il malware come un agente Linux basato su Golang, noto come Kinsing. Il malware si propaga sfruttando configurazioni errate nelle porte dell'API Docker. Esegue un contenitore Ubuntu, che scarica Kinsing e quindi tenta di diffondere il malware su ulteriori contenitori e host.
L'obiettivo finale della campagna - raggiunto sfruttando prima il porto aperto e poi portando avanti una serie di tattiche di evasione - è quello di distribuire un cripto minatore sull'host compromesso, affermano i ricercatori.
Infografica che mostra l'intero flusso di un attacco Kinsing. Fonte: Blog di Aqua Security
Le squadre di sicurezza devono migliorare il proprio gioco, afferma Aqua
Lo studio di Aqua fornisce una visione dettagliata dei componenti della campagna malware, che si distingue come un forte esempio di ciò che l'azienda sostiene sia "la crescente minaccia per gli ambienti nativi cloud".
Gli aggressori stanno migliorando il loro gioco per montare attacchi sempre più sofisticati e ambiziosi, osservano i ricercatori. In risposta, i team di sicurezza aziendali devono sviluppare una strategia più solida per mitigare questi nuovi rischi.
Tra i loro consigli, Aqua propone ai team di identificare tutte le risorse cloud e raggrupparle in una struttura logica, rivedere le loro politiche di autorizzazione e autenticazione e regolare le politiche di sicurezza di base secondo un principio di "privilegio minimo".
I team dovrebbero inoltre esaminare i log per individuare le azioni degli utenti che si registrano come anomalie, nonché implementare strumenti di sicurezza del cloud per rafforzare la loro strategia.
Crescente consapevolezza
Il mese scorso, Acronis ha avviato l'avvio di unicorno con sede a Singapore pubblicato i risultati del suo ultimo sondaggio sulla sicurezza informatica. Ha rivelato che l'86% dei professionisti IT è preoccupato per il cryptojacking - il termine industriale per la pratica di utilizzare la potenza di elaborazione di un computer per il mio per criptovalute senza il consenso o la conoscenza del proprietario.