Cryptojacking powraca, a osoby atakujące wykorzystują różne schematy, aby wyssać wolną moc obliczeniową z infrastruktury chmury, aby skupić się na wydobywaniu kryptowalut, takich jak Bitcoin i Monero.
Według Sysdig, dostawcy zabezpieczeń usług chmurowych, górnicy kryptowalut korzystają z bezpłatnych wersji próbnych niektórych z największych usług ciągłej integracji i wdrażania (CI/CD) w celu wdrażania kodu i tworzenia rozproszonych platform wydobywczych. Celem atakujących są także źle skonfigurowane instancje Kubernetes i Docker w celu uzyskania dostępu do systemów hostów i uruchomienia oprogramowania do wydobywania kryptowaluty – ostrzegła w tym tygodniu firma CrowdStrike świadcząca usługi w zakresie cyberbezpieczeństwa.
Obie taktyki tak naprawdę polegają na próbie zarobienia na wzroście liczby walut cyfrowych cudzym kosztem, mówi Manoj Ahuje, starszy badacz zagrożeń dla bezpieczeństwa chmury w CrowdStrike.
„Tak długo, jak dostępne jest zagrożone obciążenie, w zasadzie obliczenia są bezpłatne — dla górnika kryptowalut jest to wygrana sama w sobie, ponieważ jego koszt wejściowy wynosi zero” – mówi. „I… jeśli atakujący może skutecznie zagrozić dużej liczbie takich obciążeń poprzez crowdsourcing zasobów obliczeniowych na potrzeby wydobycia, pomaga to szybciej osiągnąć cel i wydobywać więcej w tym samym czasie”.
Wysiłki związane z wydobywaniem kryptowalut zwiększają się z biegiem czasu, mimo że wartość kryptowalut spadła w ciągu ostatnich 11 miesięcy. Bitcoin jest na przykład spadł o 70% w stosunku do szczytu w listopadzie 2021 r, wpływając na wiele usług opartych na kryptowalutach. Jednak najnowsze ataki pokazują, że cyberprzestępcy chcą zebrać najniżej wiszące owoce.
Może się wydawać, że naruszenie infrastruktury chmurowej dostawców nie szkodzi firmom, ale koszty takich hacków będą spadać. Sysdig zazwyczaj znajduje tego atakującego zarabiaj tylko 1 dolara na każde 53 dolary kosztów ponoszą właściciele infrastruktury chmurowej. Na przykład wydobycie pojedynczej monety Monero za pomocą bezpłatnych wersji próbnych na GitHub kosztowałoby tę firmę ponad 100,000 XNUMX dolarów utraconych przychodów, szacuje Sysdig.
Jednak firmy mogą początkowo nie dostrzegać szkód związanych z wydobywaniem kryptowalut, mówi Crystal Morin, badacz zagrożeń w Sysdig.
„Nie wyrządzają nikomu bezpośredniej szkody, na przykład nie zabierają czyjejś infrastruktury czy kradną dane firmom, ale gdyby rozszerzyli tę działalność na większą skalę lub inne grupy skorzystały z tego typu operacji – „freejackingu”, mogłoby to zacząć szkodzić finansowo tym dostawcom i wywrzeć wpływ — po stronie zaplecza — na użytkowników, powodując wycofywanie bezpłatnych wersji próbnych lub zmuszanie legalnych użytkowników do płacenia więcej” – mówi.
Wszędzie górnicy kryptowalut
Najnowszy atak, który Sysdig nazwał PURPLEURCHIN, wydaje się być próbą połączenia sieci do wydobywania kryptowalut z jak największej liczby usług oferujących bezpłatne okresy próbne. Badacze Sysdiga odkryli, że najnowsza sieć do wydobywania kryptowalut wykorzystywała 30 kont GitHub, 2,000 kont Heroku i 900 kont Buddy. Grupa cyberprzestępcza pobiera kontener Docker, uruchamia program JavaScript i ładuje go do określonego kontenera.
Powodzenie ataku tak naprawdę zależy od wysiłków grupy cyberprzestępczej zmierzających do maksymalnej automatyzacji, mówi Michael Clark, dyrektor ds. badań zagrożeń w firmie Sysdig.
„Naprawdę zautomatyzowali proces uzyskiwania dostępu do nowych kont” – mówi. „Wykorzystują obejścia CAPTCHA, zarówno wizualne, jak i audio. Tworzą nowe domeny i hostują serwery poczty e-mail w zbudowanej przez siebie infrastrukturze. Wszystko jest modułowe, więc uruchamiają kilka kontenerów na wirtualnym hoście.
Na przykład GitHub oferuje 2,000 bezpłatnych minut GitHub Action miesięcznie w swojej bezpłatnej warstwie, co może zapewnić do 33 godzin działania dla każdego konta, jak stwierdziła Sysdig w swojej analizie.
Pocałuj psa
Kampania cryptojackingu Odkryto CrowdStrike atakuje podatną na ataki infrastrukturę Docker i Kubernetes. Nazywana kampanią Kiss-a-Dog kopacze kryptowalut wykorzystują wiele serwerów dowodzenia i kontroli (C2) w celu zapewnienia odporności, używając rootkitów, aby uniknąć wykrycia. Obejmuje szereg innych możliwości, takich jak umieszczanie tylnych drzwi w dowolnych zainfekowanych kontenerach i używanie innych technik w celu uzyskania trwałości.
Techniki ataku przypominają techniki stosowane przez inne grupy badane przez CrowdStrike, w tym LemonDuck i Watchdog. Jednak większość taktyk jest podobna do tej stosowanej przez TeamTNT, która również celowała w podatną na ataki i źle skonfigurowaną infrastrukturę Docker i Kubernetes, stwierdził CrowdStrike w swoim poradniku.
Chociaż takie ataki mogą nie sprawiać wrażenia naruszenia, firmy powinny poważnie traktować wszelkie oznaki, że osoby atakujące mają dostęp do ich infrastruktury chmurowej, mówi Ahuje z CrowdStrike.
„Kiedy atakujący uruchamiają koparkę kryptowalut w Twoim środowisku, jest to objaw tego, że Twoja pierwsza linia obrony zawiodła” – mówi. „Kryptomini nie pozostawiają żadnych kamieni, aby wykorzystać tę powierzchnię ataku na swoją korzyść”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
