Criptojacking-ul se repetă, atacatorii utilizând o varietate de scheme pentru a pierde puterea de procesare din infrastructura cloud pentru a se concentra pe minarea criptomonedelor precum Bitcoin și Monero.
Cryptominerii folosesc disponibilitatea testelor gratuite pentru unele dintre cele mai mari servicii de integrare și implementare continuă (CI/CD) pentru a implementa cod și a crea platforme de minerit distribuite, conform Sysdig, un furnizor de securitate pentru servicii native din cloud. Atacatorii sunt vizați, de asemenea, de instanțe Kubernetes și Docker configurate greșit pentru a obține acces la sistemele gazdă și pentru a rula software de criptomining, a avertizat compania de servicii de securitate cibernetică CrowdStrike în această săptămână.
Ambele tactici încearcă de fapt să profite de creșterea monedelor digitale pe cheltuiala altcuiva, spune Manoj Ahuje, cercetător senior în domeniul securității în cloud la CrowdStrike.
„Atâta timp cât volumul de lucru compromis este disponibil, în esență, este un calcul gratuit – pentru un criptominer, acesta este un câștig în sine, deoarece costul său de intrare devine zero”, spune el. „Și... dacă un atacator poate compromite un număr mare de astfel de sarcini de lucru în mod eficient prin asocierea în crowdsourcing a calculatoarelor pentru minerit, ajută la atingerea obiectivului mai rapid și la mine mai mult în același timp.”
Eforturile de criptomining sunt crescute de-a lungul timpului, chiar dacă valoarea criptomonedelor a scăzut în ultimele 11 luni. Bitcoin, de exemplu, este a scăzut cu 70% față de vârful din noiembrie 2021, afectând multe servicii bazate pe criptomonede. Cu toate acestea, ultimele atacuri arată că infractorii cibernetici caută să culeagă cel mai jos fruct.
Infrastructura cloud a furnizorilor compromițători poate nu părea să dăuneze afacerilor, dar costurile unor astfel de hack-uri se vor scurge în jos. Sysdig a găsit acel atacator de obicei faceți doar 1 USD pentru fiecare 53 USD de cost suportate de proprietarii infrastructurii cloud. Exploatarea unei singure monede Monero folosind teste gratuite pe GitHub, de exemplu, ar costa acea companie mai mult de 100,000 de dolari în venituri pierdute, a estimat Sysdig.
Cu toate acestea, este posibil ca companiile să nu vadă inițial răul în criptomining, spune Crystal Morin, cercetător pentru amenințări la Sysdig.
„Nu dăunează nimănui în mod direct, cum ar fi luarea infrastructurii cuiva sau furtul datelor de la companii, dar dacă ar crește acest lucru sau alte grupuri ar profita de acest tip de operațiuni – „freejacking” – ar putea începe să rănească financiar acești furnizori. și impactul – în partea de sus – utilizatorii, încercările gratuite dispar sau obligă utilizatorii legitimi să plătească mai mult”, spune ea.
Criptomineri de pretutindeni
Cel mai recent atac, pe care Sysdig l-a numit PURPLEURCHIN, pare a fi un efort de a pune laolaltă o rețea de criptomining din cât mai multe servicii care oferă teste gratuite. Cercetătorii Sysdig au descoperit că cea mai recentă rețea de criptomining a folosit 30 de conturi GitHub, 2,000 de conturi Heroku și 900 de conturi Buddy. Grupul de criminali cibernetici descarcă un container Docker, rulează un program JavaScript și se încarcă într-un anumit container.
Succesul atacului este determinat cu adevărat de eforturile grupului de criminali cibernetici de a automatiza cât mai mult posibil, spune Michael Clark, director de cercetare a amenințărilor pentru Sysdig.
„Au automatizat într-adevăr activitatea de a intra în conturi noi”, spune el. „Ei folosesc bypass-uri CAPTCHA, cele vizuale și versiuni audio. Ei creează noi domenii și găzduiesc servere de e-mail pe infrastructura pe care au construit-o. Totul este modular, așa că învârt o grămadă de containere pe o gazdă virtuală.”
GitHub, de exemplu, oferă 2,000 de minute GitHub Action gratuite pe lună la nivelul său gratuit, ceea ce ar putea reprezenta până la 33 de ore de timp de rulare pentru fiecare cont, a declarat Sysdig în analiza sa.
Sărută-un câine
Campania de criptojacking CrowdStrike descoperit vizează infrastructura Docker și Kubernetes vulnerabilă. Numită campania Kiss-a-Dog, criptominerii folosesc mai multe servere de comandă și control (C2) pentru rezistență, folosind rootkit-uri pentru a evita detectarea. Include o varietate de alte capabilități, cum ar fi plasarea ușilor din spate în orice container compromis și utilizarea altor tehnici pentru a câștiga persistență.
Tehnicile de atac seamănă cu cele ale altor grupuri investigate de CrowdStrike, inclusiv LemonDuck și Watchdog. Dar majoritatea tacticilor sunt similare cu TeamTNT, care a vizat și infrastructura Docker și Kubernetes vulnerabilă și configurată greșit, a declarat CrowdStrike în avizul său.
Deși astfel de atacuri ar putea să nu pară o încălcare, companiile ar trebui să ia în serios orice semn că atacatorii au acces la infrastructura lor cloud, spune Ahuje de la CrowdStrike.
„Când atacatorii rulează un criptominer în mediul tău, acesta este un simptom că prima ta linie de apărare a eșuat”, spune el. „Cryptominerii nu lasă nimic neîntors pentru a exploata această suprafață de atac în avantajul lor.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
