Os pesquisadores de segurança cibernética identificaram uma campanha persistente e ambiciosa que visa milhares de servidores Docker diariamente com um Bitcoin (BTC) mineiro.
Em um relatório publicado em 3 de abril, a Aqua Security emitiu um alerta de ameaça sobre o ataque, que aparentemente “está acontecendo há meses, com milhares de tentativas ocorrendo quase diariamente”. Os pesquisadores alertam:
“Estes são os números mais altos que vimos em algum tempo, excedendo em muito o que vimos até agora.”
Tal escopo e ambição indicam que a campanha ilícita de mineração de Bitcoin provavelmente não será “um esforço improvisado”, já que os atores por trás dela devem contar com recursos e infraestrutura significativos.
Volumes de ataque de malware Kinsing, dezembro de 2019 a março de 2020. Fonte: Blog Aqua Security
Usando suas ferramentas de análise de vírus, a Aqua Security identificou o malware como um agente Linux baseado em Golang, conhecido como Kinsing. O malware se propaga explorando configurações incorretas nas portas da API Docker. Ele executa um contêiner do Ubuntu, que baixa o Kinsing e tenta espalhar o malware para outros contêineres e hosts.
O objetivo final da campanha - alcançado primeiro explorando a porta aberta e depois realizando uma série de táticas de evasão - é implantar um criptomoeda no host comprometido, dizem os pesquisadores.
Infográfico mostrando o fluxo total de um ataque de Kinsing. Fonte: Blog Aqua Security
As equipes de segurança precisam melhorar seu jogo, diz Aqua
O estudo da Aqua fornece uma visão detalhada dos componentes da campanha de malware, que se destaca como um exemplo poderoso do que a empresa afirma ser “a ameaça crescente aos ambientes nativos da nuvem”.
Os invasores estão melhorando seu jogo para montar ataques cada vez mais sofisticados e ambiciosos, observam os pesquisadores. Em resposta, as equipes de segurança corporativa precisam desenvolver uma estratégia mais robusta para mitigar esses novos riscos.
Entre suas recomendações, a Aqua propõe que as equipes identifiquem todos os recursos de nuvem e os agrupem em uma estrutura lógica, revisem suas políticas de autorização e autenticação e ajustem as políticas básicas de segurança de acordo com o princípio de "privilégio mínimo".
As equipes também devem investigar os logs para localizar as ações do usuário que se registram como anomalias, bem como implementar ferramentas de segurança na nuvem para fortalecer sua estratégia.
Conscientização crescente
No mês passado, a Acronis, startup de unicórnio sediada em Singapura publicado os resultados de sua última pesquisa sobre segurança cibernética. Ele revelou que 86% dos profissionais de TI estão preocupados com o cryptojacking - o termo da indústria para a prática de usar o poder de processamento de um computador para mina para criptomoedas sem o consentimento ou conhecimento do proprietário.