O cryptojacking está voltando, com os invasores usando uma variedade de esquemas para extrair poder de processamento gratuito da infraestrutura em nuvem para se concentrar na mineração de criptomoedas como Bitcoin e Monero.
Os criptomineradores estão aproveitando a disponibilidade de testes gratuitos em alguns dos maiores serviços de integração e implantação contínua (CI/CD) para implantar código e criar plataformas de mineração distribuídas, de acordo com a Sysdig, fornecedora de segurança para serviços nativos da nuvem. Os invasores também têm como alvo instâncias mal configuradas de Kubernetes e Docker para obter acesso aos sistemas host e executar software de criptografia, alertou a empresa de serviços de segurança cibernética CrowdStrike esta semana.
Ambas as táticas tentam apenas lucrar com a ascensão das moedas digitais às custas de outra pessoa, diz Manoj Ahuje, pesquisador sênior de ameaças para segurança em nuvem da CrowdStrike.
“Enquanto a carga de trabalho comprometida estiver disponível, em essência, é computação gratuita – para um criptominerador, isso é uma vitória por si só, pois seu custo de entrada se torna zero”, diz ele. “E… se um invasor puder comprometer um grande número dessas cargas de trabalho de forma eficaz, por meio do crowdsourcing da computação para mineração, isso ajudará a atingir a meta mais rapidamente e a minerar mais no mesmo período de tempo.”
Os esforços de criptomineração aumentam com o tempo, mesmo com a queda do valor das criptomoedas nos últimos 11 meses. Bitcoin, por exemplo, é queda de 70% em relação ao pico de novembro de 2021, afetando muitos serviços baseados em criptomoedas. No entanto, os ataques mais recentes mostram que os cibercriminosos estão tentando colher os frutos mais fáceis de alcançar.
Comprometer a infraestrutura de nuvem dos provedores pode não parecer prejudicar as empresas, mas o custo de tais hacks diminuirá. A Sysdig descobriu que o invasor normalmente ganhe apenas $ 1 para cada $ 53 de custo suportado pelos proprietários da infraestrutura em nuvem. A mineração de uma única moeda Monero usando testes gratuitos no GitHub, por exemplo, custaria à empresa mais de US$ 100,000 em receita perdida, estimou Sysdig.
No entanto, as empresas podem não perceber inicialmente os danos da criptomineração, diz Crystal Morin, pesquisadora de ameaças da Sysdig.
“Eles não estão prejudicando ninguém diretamente, como tomar a infraestrutura de alguém ou roubar dados de empresas, mas se eles aumentassem isso, ou se outros grupos aproveitassem esse tipo de operação – 'freejacking' – isso poderia começar a prejudicar financeiramente esses provedores. e impactar – no back-end – os usuários, com testes gratuitos desaparecendo ou forçando usuários legítimos a pagar mais”, diz ela.
Criptomineradores em todos os lugares
O último ataque, que Sysdig apelidou de PURPLEURCHIN, parece ser um esforço para montar uma rede de criptomineração a partir do maior número possível de serviços que oferecem testes gratuitos. Os pesquisadores da Sysdig descobriram que a rede de criptografia mais recente utilizava 30 contas GitHub, 2,000 contas Heroku e 900 contas Buddy. O grupo cibercriminoso baixa um contêiner Docker, executa um programa JavaScript e carrega em um contêiner específico.
O sucesso do ataque é realmente impulsionado pelos esforços do grupo cibercriminoso para automatizar o máximo possível, diz Michael Clark, diretor de pesquisa de ameaças da Sysdig.
“Eles realmente automatizaram a atividade de acesso a novas contas”, diz ele. “Eles usam bypass CAPTCHA, os visuais e as versões de áudio. Eles criam novos domínios e hospedam servidores de e-mail na infraestrutura que construíram. É tudo modular, então eles geram vários contêineres em um host virtual.”
O GitHub, por exemplo, oferece 2,000 minutos gratuitos do GitHub Action por mês em seu nível gratuito, o que pode representar até 33 horas de tempo de execução para cada conta, afirmou a Sysdig em sua análise.
Beije um cachorro
A campanha de criptojacking CrowdStrike descoberto tem como alvo a infraestrutura vulnerável do Docker e do Kubernetes. Chamada de campanha Kiss-a-Dog, os criptomineradores usam vários servidores de comando e controle (C2) para resiliência, usando rootkits para evitar a detecção. Inclui uma variedade de outros recursos, como colocar backdoors em qualquer contêiner comprometido e usar outras técnicas para ganhar persistência.
As técnicas de ataque se assemelham às de outros grupos investigados pela CrowdStrike, incluindo LemonDuck e Watchdog. Mas a maioria das táticas são semelhantes às do TeamTNT, que também visava a infraestrutura vulnerável e mal configurada do Docker e do Kubernetes, afirmou a CrowdStrike em seu comunicado.
Embora tais ataques possam não parecer uma violação, as empresas devem levar a sério quaisquer sinais de que os invasores tenham acesso à sua infraestrutura em nuvem, diz Ahuje, da CrowdStrike.
“Quando invasores executam um criptominerador em seu ambiente, isso é um sintoma de que sua primeira linha de defesa falhou”, diz ele. “Os criptomineradores não estão deixando pedra sobre pedra para explorar essa superfície de ataque em seu benefício.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
