Криптоджекинг возвращается: злоумышленники используют различные схемы для выкачивания бесплатной вычислительной мощности из облачной инфраструктуры, чтобы сосредоточиться на майнинге криптовалют, таких как Биткойн и Монеро.
По данным Sysdig, поставщика средств безопасности для облачных сервисов, криптомайнеры используют доступность бесплатных пробных версий некоторых крупнейших сервисов непрерывной интеграции и развертывания (CI/CD) для развертывания кода и создания платформ распределенного майнинга. Злоумышленники также нацелены на неправильно настроенные экземпляры Kubernetes и Docker, чтобы получить доступ к хост-системам и запустить программное обеспечение для майнинга криптовалют, предупредила на этой неделе компания CrowdStrike, предоставляющая услуги кибербезопасности.
Обе тактики на самом деле просто пытаются нажиться на росте цифровых валют за чужой счет, говорит Манодж Ахудже, старший исследователь угроз облачной безопасности в CrowdStrike.
«Пока скомпрометированная рабочая нагрузка доступна, по сути, это бесплатные вычисления — для криптомайнера это само по себе является победой, поскольку его входные затраты становятся равными нулю», — говорит он. «И… если злоумышленник сможет эффективно скомпрометировать большое количество таких рабочих нагрузок, используя краудсорсинг вычислительных ресурсов для майнинга, это поможет быстрее достичь цели и добыть больше за тот же промежуток времени».
Усилия по майнингу криптовалют со временем увеличиваются, даже несмотря на то, что стоимость криптовалют упала за последние 11 месяцев. Биткойн, например, на 70% ниже своего пика в ноябре 2021 года, затрагивая многие сервисы, основанные на криптовалюте. Однако последние атаки показывают, что киберпреступники стремятся сорвать самые легкие плоды.
Компрометация облачной инфраструктуры провайдеров, возможно, и не нанесет вреда бизнесу, но стоимость таких взломов снизится. Sysdig обнаружил, что злоумышленник обычно зарабатывайте только 1 доллар на каждые 53 доллара затрат несут владельцы облачной инфраструктуры. Например, по оценкам Sysdig, добыча одной монеты Monero с использованием бесплатных пробных версий на GitHub обойдется компании в более чем 100,000 XNUMX долларов потерянного дохода.
Однако поначалу компании могут не видеть вреда от майнинга криптовалют, говорит Кристал Морин, исследователь угроз в Sysdig.
«Они не причиняют никому прямого вреда, например, захватывая чью-то инфраструктуру или кражу данных у предприятий, но если бы они увеличили масштабы этого или другие группы воспользовались этим типом операции — «фриджекингом» — это могло бы нанести финансовый ущерб этим провайдерам. и повлияет — на внутренней стороне — на пользователей, отменяя бесплатные пробные версии или вынуждая законных пользователей платить больше», — говорит она.
Криптомайнеры повсюду
Последняя атака, которую Sysdig назвал PURPLEURCHIN, по-видимому, является попыткой собрать воедино сеть криптомайнинга из как можно большего количества сервисов, предлагающих бесплатные пробные версии. Исследователи Sysdig обнаружили, что последняя сеть криптомайнинга использовала 30 учетных записей GitHub, 2,000 учетных записей Heroku и 900 учетных записей Buddy. Группа киберпреступников загружает Docker-контейнер, запускает программу JavaScript и загружает определенный контейнер.
По словам Майкла Кларка, директора по исследованию угроз Sysdig, успех атаки на самом деле обусловлен усилиями группы киберпреступников по максимально возможной автоматизации.
«Они действительно автоматизировали процесс входа в новые учетные записи», — говорит он. «Они используют обходы CAPTCHA, визуальные и аудиоверсии. Они создают новые домены и размещают серверы электронной почты в построенной ими инфраструктуре. Все это модульно, поэтому они размещают кучу контейнеров на виртуальном хосте».
GitHub, например, предлагает 2,000 бесплатных минут GitHub Action в месяц на своем бесплатном уровне, что может составлять до 33 часов времени работы для каждой учетной записи, говорится в анализе Sysdig.
Поцелуй собаку
Кампания по криптоджекингу Обнаружен CrowdStrike нацелен на уязвимую инфраструктуру Docker и Kubernetes. Криптомайнеры, получившие название «Поцелуй собаку», используют несколько серверов управления и контроля (C2) для обеспечения устойчивости, а также используют руткиты, чтобы избежать обнаружения. Он включает в себя множество других возможностей, таких как размещение бэкдоров в любых скомпрометированных контейнерах и использование других методов для обеспечения устойчивости.
Техники атак напоминают методы других групп, исследованных CrowdStrike, включая LemonDuck и Watchdog. Но большая часть тактики аналогична TeamTNT, которая также нацелена на уязвимую и неправильно настроенную инфраструктуру Docker и Kubernetes, говорится в сообщении CrowdStrike.
Хотя такие атаки могут не восприниматься как взлом, компаниям следует серьезно относиться к любым признакам того, что злоумышленники имеют доступ к их облачной инфраструктуре, говорит Ахудже из CrowdStrike.
«Когда злоумышленники запускают криптомайнер в вашей среде, это признак того, что ваша первая линия защиты не сработала», — говорит он. «Криптомайнеры делают все возможное, чтобы использовать эту поверхность атаки в своих интересах».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
