Cercetătorii în securitate cibernetică au identificat o campanie persistentă și ambițioasă care vizează zilnic mii de servere Docker cu un Bitcoin (BTC) miner.
Într-un raport publicat pe 3 aprilie, Aqua Security a emis o alertă de amenințare în legătură cu atacul, care aparent „se desfășoară de luni de zile, cu mii de încercări având loc aproape zilnic”. Cercetătorii avertizează:
„Acestea sunt cele mai mari cifre pe care le-am văzut de ceva timp, depășind cu mult ceea ce am asistat până în prezent.”
O astfel de amploare și ambiție indică faptul că este puțin probabil ca campania de extragere ilegală a Bitcoin să fie „un efort improvizat”, deoarece actorii din spatele ei trebuie să se bazeze pe resurse și infrastructură semnificative.
Kinsing volume de atacuri malware, decembrie 2019-martie 2020. Sursa: Blogul Aqua Security
Folosind instrumentele sale de analiză a virușilor, Aqua Security a identificat malware-ul ca un agent Linux bazat pe Golang, cunoscut sub numele de Kinsing. Malware-ul se propagă prin exploatarea configurațiilor greșite din porturile API-ului Docker. Rulează un container Ubuntu, care descarcă Kinsing și apoi încearcă să răspândească malware-ul în alte containere și gazde.
Scopul final al campaniei – atins prin exploatarea mai întâi a portului deschis și apoi prin realizarea unei serii de tactici de evaziune – este de a desfășura un cripto miner pe gazda compromisă, spun cercetătorii.
Infografică care arată fluxul complet al unui atac Kinsing. Sursă: Blogul Aqua Security
Echipele de securitate trebuie să-și îmbunătățească jocul, spune Aqua
Studiul Aqua oferă o perspectivă detaliată asupra componentelor campaniei de malware, care iese în evidență ca un exemplu puternic a ceea ce firma susține că este „amenințarea tot mai mare pentru mediile native cloud”.
Atacatorii își îmbunătățesc jocul pentru a organiza atacuri din ce în ce mai sofisticate și ambițioase, notează cercetătorii. Ca răspuns, echipele de securitate ale întreprinderilor trebuie să dezvolte o strategie mai robustă pentru a atenua aceste noi riscuri.
Printre recomandările lor, Aqua propune ca echipele să identifice toate resursele cloud și să le grupeze într-o structură logică, să-și revizuiască politicile de autorizare și autentificare și să ajusteze politicile de securitate de bază în conformitate cu principiul „cel mai mic privilegiu”.
Echipele ar trebui, de asemenea, să investigheze jurnalele pentru a localiza acțiunile utilizatorilor care se înregistrează ca anomalii, precum și să implementeze instrumente de securitate în cloud pentru a-și consolida strategia.
Conștientizare în creștere
Luna trecută, startup-ul unicorn Acronis din Singapore publicat rezultatele celui mai recent sondaj de securitate cibernetică. Acesta a arătat că 86% dintre profesioniștii IT sunt îngrijorați de cryptojacking - termenul din industrie pentru practica de utilizare a puterii de procesare a unui computer pentru a mină pentru criptomonede fără consimțământul sau știrea proprietarului.