Cryptojacking is terug aan het komen, waarbij aanvallers verschillende schema's gebruiken om gratis verwerkingskracht uit de cloudinfrastructuur te halen en zich te concentreren op het minen van cryptocurrencies zoals Bitcoin en Monero.
Cryptominers maken gebruik van de beschikbaarheid van gratis proefversies van enkele van de grootste CI/CD-services (continue integratie en implementatie) om code te implementeren en gedistribueerde mining-platforms te creรซren, aldus Sysdig, een leverancier van beveiliging voor cloud-native services. Aanvallers zijn ook het doelwit van verkeerd geconfigureerde Kubernetes- en Docker-instanties om toegang te krijgen tot de hostsystemen en cryptominingsoftware uit te voeren, waarschuwde cyberbeveiligingsdienstenbedrijf CrowdStrike deze week.
Beide tactieken proberen eigenlijk alleen maar geld te verdienen aan de opkomst van digitale valuta ten koste van iemand anders, zegt Manoj Ahuje, een senior dreigingsonderzoeker voor cloudbeveiliging bij CrowdStrike.
โZolang de gecompromitteerde werklast beschikbaar is, is het in wezen gratis computergebruik โ voor een cryptominer is dat op zichzelf al een overwinning, aangezien zijn inputkosten nul wordenโ, zegt hij. โEn โฆ als een aanvaller een groot aantal van dergelijke workloads effectief kan compromitteren door de rekenkracht voor mining te crowdsourcen, helpt dit om het doel sneller te bereiken en meer te minen in dezelfde hoeveelheid tijd.โ
De inspanningen op het gebied van cryptomining worden in de loop van de tijd steeds groter, zelfs nu de waarde van cryptocurrencies de afgelopen elf maanden is gedaald. Bitcoin is dat bijvoorbeeld wel 70% gedaald ten opzichte van de piek in november 2021, wat van invloed is op veel op cryptocurrency gebaseerde diensten. Uit de laatste aanvallen blijkt echter dat cybercriminelen het laagst hangende fruit willen plukken.
Het compromitteren van de cloudinfrastructuur van providers lijkt misschien geen schade te berokkenen aan bedrijven, maar de kosten van dergelijke hacks zullen wel naar beneden druppelen. Sysdig vond die aanvaller typisch Verdien slechts $ 1 voor elke $ 53 aan kosten gedragen door de eigenaren van de cloudinfrastructuur. Het minen van รฉรฉn enkele Monero-munt met behulp van gratis proefversies op GitHub zou dat bedrijf bijvoorbeeld meer dan $100,000 aan verloren inkomsten kosten, schat Sysdig.
Toch zien bedrijven in eerste instantie misschien niet de schade van cryptomining, zegt Crystal Morin, een bedreigingsonderzoeker bij Sysdig.
โZe schaden niemand rechtstreeks, zoals het stelen van iemands infrastructuur of het stelen van gegevens van bedrijven, maar als ze dit zouden opschalen, of als andere groepen misbruik zouden maken van dit soort operaties โ โfreejackingโ โ zou dit deze providers financieel kunnen schaden. en impact hebben โ aan de achterkant โ op de gebruikers, waarbij gratis proefversies verdwijnen of legitieme gebruikers worden gedwongen meer te betalenโ, zegt ze.
Cryptominers overal
De nieuwste aanval, die Sysdig PURPLEURCHIN noemde, lijkt een poging te zijn om een โโcryptomining-netwerk samen te stellen uit zoveel mogelijk diensten die gratis proefversies aanbieden. De onderzoekers van Sysdig ontdekten dat het nieuwste cryptominingnetwerk 30 GitHub-accounts, 2,000 Heroku-accounts en 900 Buddy-accounts gebruikte. De cybercriminele groep downloadt een Docker-container, voert een JavaScript-programma uit en laadt in een specifieke container.
Het succes van de aanval wordt in werkelijkheid bepaald door de inspanningen van de cybercriminele groep om zoveel mogelijk te automatiseren, zegt Michael Clark, directeur dreigingsonderzoek bij Sysdig.
โZe hebben de activiteit van het inloggen op nieuwe accounts echt geautomatiseerdโ, zegt hij. โZe gebruiken CAPTCHA-bypasses, de visuele en de audioversies. Ze creรซren nieuwe domeinen en hosten e-mailservers op de infrastructuur die ze hebben gebouwd. Het is allemaal modulair, dus draaien ze een aantal containers op een virtuele host.โ
GitHub biedt bijvoorbeeld 2,000 gratis GitHub Action-minuten per maand op zijn gratis laag, wat goed kan zijn voor maximaal 33 uur looptijd voor elk account, aldus Sysdig in zijn analyse.
Kus-een-hond
De cryptojacking-campagne CrowdStrike ontdekt richt zich op de kwetsbare Docker- en Kubernetes-infrastructuur. De cryptominers, die de Kiss-a-Dog-campagne worden genoemd, gebruiken meerdere command-and-control (C2)-servers voor veerkracht, waarbij ze rootkits gebruiken om detectie te voorkomen. Het omvat een verscheidenheid aan andere mogelijkheden, zoals het plaatsen van achterdeurtjes in aangetaste containers en het gebruiken van andere technieken om doorzettingsvermogen te verkrijgen.
De aanvalstechnieken lijken op die van andere door CrowdStrike onderzochte groepen, waaronder LemonDuck en Watchdog. Maar de meeste tactieken zijn vergelijkbaar met die van TeamTNT, dat zich ook richtte op de kwetsbare en verkeerd geconfigureerde Docker- en Kubernetes-infrastructuur, aldus CrowdStrike in zijn advies.
Hoewel dergelijke aanvallen misschien niet als een inbreuk aanvoelen, moeten bedrijven elk signaal dat aanvallers toegang hebben tot hun cloudinfrastructuur serieus nemen, zegt Ahuje van CrowdStrike.
โWanneer aanvallers een cryptominer in uw omgeving gebruiken, is dit een symptoom dat uw eerste verdedigingslinie heeft gefaaldโ, zegt hij. โCryptominers laten geen middel onbeproefd om dit aanvalsoppervlak in hun voordeel te exploiteren.โ
