As ameaças contra a infraestrutura nativa da nuvem estão aumentando, especialmente à medida que os invasores têm como alvo os recursos da nuvem e dos contêineres para potencializar suas operações ilícitas de criptomineração. Na última reviravolta, os cibercriminosos estão causando estragos nos recursos da nuvem para propagar e administrar empresas de cryptojacking em esquemas dispendiosos que custam às vítimas cerca de US$ 50 em recursos da nuvem para cada US$ 1 em criptomoeda que os criminosos extraem dessas reservas computacionais.
Isso está de acordo com um novo relatório divulgado hoje pela Sysdig, que mostra que, embora os bandidos ataquem indiscriminadamente qualquer nuvem fraca ou recursos de contêiner que possam ter em mãos para impulsionar esquemas de criptografia lucrativos, eles também são inteligentemente estratégicos sobre isso.
Na verdade, muitos dos ataques mais astutos à cadeia de fornecimento de software são, em grande parte, projetados para gerar criptomineradores por meio de imagens de contêineres infectados. Os invasores não apenas aproveitam as dependências do código-fonte mais comumente consideradas em ataques ofensivos à cadeia de suprimentos - eles também aproveitam imagens de contêineres maliciosas como um veículo de ataque eficaz, de acordo com o “Relatório de ameaças nativas da nuvem de 2022. "
Os cibercriminosos estão aproveitando a tendência da comunidade de desenvolvimento de compartilhar códigos e projetos de código aberto por meio de imagens de contêineres pré-fabricadas por meio de registros de contêineres como o Docker Hub. As imagens de contêiner têm todo o software necessário instalado e configurado em uma carga de trabalho fácil de implantar. Embora isso economize muito tempo para os desenvolvedores, também abre um caminho para os invasores criarem imagens com cargas maliciosas integradas e, em seguida, propagarem plataformas como o DockerHub com seus produtos maliciosos. Basta que um desenvolvedor execute uma solicitação pull do Docker da plataforma para executar aquela imagem maliciosa. Além do mais, o download e a instalação do Docker Hub são opacos, tornando ainda mais difícil detectar possíveis problemas.
“Está claro que as imagens de contêineres se tornaram um vetor de ataque real, em vez de um risco teórico”, explicou o relatório, para o qual a Equipe de Pesquisa de Ameaças Sysdig (TRT) passou por um processo de meses de triagem de imagens de contêineres públicos enviadas por usuários em todo o mundo para DockerHub para encontrar instâncias maliciosas. “Os métodos empregados por atores mal-intencionados descritos pelo Sysdig TRT são direcionados especificamente para cargas de trabalho em nuvem e contêineres.”
A busca da equipe revelou mais de 1,600 imagens maliciosas contendo criptomineradores, backdoors e outros malwares desagradáveis disfarçados de software popular legítimo. Os criptomineradores foram de longe os mais prevalentes, representando 36% das amostras.
“As equipes de segurança não podem mais se iludir com a ideia de que 'os contêineres são muito novos ou muito efêmeros para que os agentes de ameaças se preocupem'”, afirma Stefano Chierici, pesquisador sênior de segurança da Sysdig e coautor do relatório. “Os invasores estão na nuvem e estão pegando dinheiro de verdade. A alta prevalência da atividade de cryptojacking é atribuível ao baixo risco e à alta recompensa para os perpetradores.”
EquipeTNT e Quimera
Como parte do relatório, Chierici e seus colegas também fizeram uma análise técnica aprofundada das táticas, técnicas e procedimentos (TTPs) do grupo de ameaças TeamTNT. Ativo desde 2019, o grupo, segundo algumas fontes, comprometeu mais de 10,000 dispositivos em nuvem e contêineres durante uma de suas campanhas de ataque mais prevalentes, o Chimera. É mais conhecido pela atividade de worm de cryptojacking e, de acordo com o relatório, o TeamTNT continua a refinar seus scripts e seus TTPs em 2022. Por exemplo, agora conecta scripts ao serviço de metadados da nuvem AWS para aproveitar credenciais associadas a uma instância EC2 e obter acesso a outros recursos vinculados a uma instância comprometida.
“Se houver permissões excessivas associadas a essas credenciais, o invasor poderá obter ainda mais acesso. Sysdig TRT acredita que a TeamTNT gostaria de aproveitar essas credenciais, se fosse capaz, para criar mais instâncias EC2 para poder aumentar suas capacidades e lucros de criptomineração”, disse o relatório.
Como parte de sua análise, a equipe investigou uma série de carteiras XMR usadas pela TeamTNT durante campanhas de mineração para descobrir o impacto financeiro do cryptojacking.
Utilizando a análise técnica das práticas operacionais do grupo de ameaças durante a operação Chimera, a Sysdig conseguiu descobrir que o adversário custou às suas vítimas US$ 11,000 em uma única instância AWS EC2 para cada XMR extraído. As carteiras que a equipe recuperou totalizaram cerca de 40 XMR, o que significa que os invasores geraram uma conta na nuvem de quase US$ 430,000 para extrair essas moedas.
Usando a avaliação de moedas do início deste ano, o relatório estimou que o valor dessas moedas é igual a cerca de US$ 8,100, com cálculos no verso do envelope mostrando que, para cada dólar que os bandidos ganham, elas custam às vítimas pelo menos US$ 53 apenas em contas de nuvem.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
