Le minacce contro le infrastrutture native del cloud sono in aumento, in particolare perché gli aggressori prendono di mira le risorse cloud e container per alimentare le loro operazioni illecite di cryptomining. Nell'ultima svolta, i criminali informatici stanno devastando le risorse cloud sia per propagare che per gestire imprese di cryptojacking con schemi costosi che costano alle vittime circa 50 dollari in risorse cloud per ogni dollaro di criptovaluta che i criminali estraggono da queste riserve di calcolo.
Questo è secondo un nuovo rapporto pubblicato oggi da Sysdig, che dimostra che, sebbene i malintenzionati attaccheranno indiscriminatamente qualsiasi risorsa cloud o contenitore debole su cui riescono a mettere le mani per alimentare schemi di cryptomining redditizi, sono anche abilmente strategici al riguardo.
In effetti, molti degli attacchi più astuti alla catena di fornitura del software sono in gran parte progettati per generare cryptominer tramite immagini di contenitori infetti. Gli aggressori non solo sfruttano le dipendenze del codice sorgente più comunemente considerate negli attacchi offensivi alla catena di fornitura, ma sfruttano anche le immagini dei contenitori dannosi come veicolo di attacco efficace, secondo Sysdig "Rapporto 2022 sulle minacce native del cloud. "
I criminali informatici stanno approfittando della tendenza all'interno della comunità di sviluppo a condividere codice e progetti open source tramite immagini di container predefinite tramite registri di container come Docker Hub. Le immagini del contenitore hanno tutto il software richiesto installato e configurato in un carico di lavoro facile da distribuire. Sebbene ciò rappresenti un notevole risparmio di tempo per gli sviluppatori, apre anche la strada agli aggressori per creare immagini che contengono payload dannosi integrati e quindi per seminare piattaforme come DockerHub con i loro prodotti dannosi. Tutto ciò che serve è che uno sviluppatore esegua una richiesta pull Docker dalla piattaforma per far funzionare l'immagine dannosa. Inoltre, il download e l’installazione di Docker Hub sono opachi, rendendo ancora più difficile individuare potenziali problemi.
"È chiaro che le immagini dei container sono diventate un vero vettore di attacco, piuttosto che un rischio teorico", spiega il rapporto, per il quale il Sysdig Threat Research Team (TRT) ha seguito un processo durato mesi di vagliatura delle immagini pubbliche dei container caricate dagli utenti di tutto il mondo su DockerHub per trovare istanze dannose. "I metodi utilizzati dagli autori malintenzionati descritti da Sysdig TRT sono specificatamente mirati ai carichi di lavoro cloud e container."
La caccia del team ha portato alla luce oltre 1,600 immagini dannose contenenti cryptominer, backdoor e altri malware dannosi camuffati da popolari software legittimi. I cryptominer erano di gran lunga i più diffusi, costituendo il 36% dei campioni.
“I team di sicurezza non possono più illudersi che ‘i container siano troppo nuovi o troppo effimeri per essere disturbati dagli autori delle minacce’”, afferma Stefano Chierici, ricercatore senior sulla sicurezza presso Sysdig e coautore del rapporto. “Gli aggressori sono nel cloud e prendono soldi veri. L'elevata prevalenza dell'attività di cryptojacking è attribuibile al basso rischio e all'elevata ricompensa per gli autori."
TeamTNT e Chimera
Come parte del rapporto, Chierici e i suoi colleghi hanno anche effettuato un’analisi tecnica approfondita delle tattiche, tecniche e procedure (TTP) del gruppo di minacce TeamTNT. Attivo dal 2019, il gruppo secondo alcune fonti ha compromesso oltre 10,000 dispositivi cloud e container durante una delle sue campagne di attacco più diffuse, Chimera. È noto soprattutto per l'attività dei worm cryptojacking e, secondo il rapporto, TeamTNT continua a perfezionare i suoi script e i suoi TTP nel 2022. Ad esempio, ora collega gli script al servizio AWS Cloud Metadata per sfruttare le credenziali associate a un'istanza EC2 e ottenere l'accesso a altre risorse legate a un'istanza compromessa.
“Se ci sono permessi eccessivi associati a queste credenziali, l’aggressore potrebbe ottenere un accesso ancora maggiore. Sysdig TRT ritiene che TeamTNT vorrebbe sfruttare queste credenziali, se possibile, per creare più istanze EC2 in modo da poter aumentare le proprie capacità e i propri profitti di cryptomining", afferma il rapporto.
Nell'ambito della sua analisi, il team ha analizzato una serie di portafogli XMR utilizzati dal TeamTNT durante le campagne di mining per capire l'impatto finanziario del cryptojacking.
Utilizzando l'analisi tecnica delle pratiche operative del gruppo di minaccia durante l'operazione Chimera, Sysdig è riuscita a scoprire che l'avversario è costato alle sue vittime 11,000 dollari su una singola istanza AWS EC2 per ogni XMR estratto. I portafogli recuperati dal team ammontavano a circa 40 XMR, il che significa che gli aggressori hanno accumulato una fattura cloud di quasi 430,000 dollari per estrarre quelle monete.
Utilizzando la valutazione delle monete dell’inizio di quest’anno, il rapporto ha stimato che il valore di quelle monete sia pari a circa 8,100 dollari, con i calcoli retrospettivi che mostrano che per ogni dollaro guadagnato dai malintenzionati, costano alle vittime almeno 53 dollari solo in banconote cloud.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
