Cryptojacking kryper tillbaka, med angripare som använder en mängd olika system för att läcka fri processorkraft från molninfrastruktur för att fokusera på att bryta kryptovalutor som Bitcoin och Monero.
Cryptominers använder tillgången på gratis testversioner på några av de största tjänsterna för kontinuerlig integration och distribution (CI/CD) för att distribuera kod och skapa distribuerade gruvplattformar, enligt Sysdig, en leverantör av säkerhet för molnbaserade tjänster. Angripare riktas också mot felkonfigurerade Kubernetes- och Docker-instanser för att få tillgång till värdsystemen och köra kryptomineringsprogramvara, varnade cybersäkerhetstjänsteföretaget CrowdStrike denna vecka.
Båda taktikerna försöker egentligen bara tjäna pengar på ökningen av digitala valutor på någon annans bekostnad, säger Manoj Ahuje, senior hotforskare för molnsäkerhet på CrowdStrike.
"Så länge den komprometterade arbetsbelastningen är tillgänglig är det i huvudsak gratis beräkning - för en kryptominerare är det en vinst i sig eftersom hans insatskostnad blir noll", säger han. "Och … om en angripare effektivt kan kompromissa med ett stort antal sådana arbetsbelastningar genom att crowdsourca beräkningen för gruvdrift, hjälper det att nå målet snabbare och bryta mer på samma tid."
Cryptomining-insatserna ökar över tiden, även om värdet på kryptovalutor har sjunkit under de senaste 11 månaderna. Bitcoin är till exempel ned 70 % från sin topp i november 2021, som påverkar många kryptovalutabaserade tjänster. De senaste attackerna visar dock att cyberkriminella vill plocka av de lägst hängande frukterna.
Att kompromissa med leverantörers molninfrastruktur kanske inte tycks skada företag, men kostnaden för sådana hack kommer att rinna ner. Sysdig hittade den angriparen vanligtvis tjäna bara $1 för varje $53 i kostnad bärs av ägarna av molninfrastrukturen. Att bryta ett enstaka Monero-mynt med gratis provversioner på GitHub, till exempel, skulle kosta det företaget mer än $100,000 XNUMX i förlorade intäkter, uppskattade Sysdig.
Ändå kanske företag initialt inte ser skadan i kryptominering, säger Crystal Morin, en hotforskare vid Sysdig.
"De skadar inte någon direkt, som att ta någons infrastruktur eller stjäla data från företag, men om de skulle skala upp det här, eller andra grupper utnyttjade den här typen av operation - "freejacking" - kan det börja skada dessa leverantörer ekonomiskt och påverka – på baksidan – användarna, med gratis provperioder som försvinner eller tvingar legitima användare att betala mer”, säger hon.
Cryptominers överallt
Den senaste attacken, som Sysdig kallade PURPLEURCHIN, verkar vara ett försök att sätta ihop ett kryptomineringsnätverk från så många tjänster som möjligt som erbjuder gratis provperioder. Sysdigs forskare upptäckte att det senaste kryptomineringsnätverket använde 30 GitHub-konton, 2,000 900 Heroku-konton och XNUMX Buddy-konton. Den cyberkriminella gruppen laddar ner en Docker-behållare, kör ett JavaScript-program och laddar i en specifik behållare.
Framgången för attacken är verkligen driven av den cyberkriminella gruppens ansträngningar att automatisera så mycket som möjligt, säger Michael Clark, chef för hotforskning för Sysdig.
"De har verkligen automatiserat aktiviteten att komma in på nya konton", säger han. "De använder CAPTCHA-bypass, de visuella och ljudversionerna. De skapar nya domäner och är värd för e-postservrar på den infrastruktur som de har byggt. Det hela är modulärt, så de snurrar upp ett gäng behållare på en virtuell värd.”
GitHub, till exempel, erbjuder 2,000 33 gratis GitHub Action-minuter per månad på sin gratisnivå, vilket kan stå för upp till XNUMX timmars körtid för varje konto, uppgav Sysdig i sin analys.
Kiss-a-Dog
Kryptojackningskampanjen CrowdStrike upptäckt riktar sig mot sårbar Docker- och Kubernetes-infrastruktur. Kallas Kiss-a-Dog-kampanjen, kryptominerna använder flera kommando-och-kontroll-servrar (C2) för motståndskraft och använder rootkits för att undvika upptäckt. Den innehåller en mängd andra funktioner, som att placera bakdörrar i eventuella komprometterade containrar och använda andra tekniker för att få uthållighet.
Attackteknikerna liknar de hos andra grupper som undersökts av CrowdStrike, inklusive LemonDuck och Watchdog. Men de flesta av taktiken liknar TeamTNT, som också riktade sig mot sårbara och felkonfigurerade Docker- och Kubernetes-infrastrukturer, uppgav CrowdStrike i sin rådgivning.
Även om sådana attacker kanske inte känns som ett intrång, bör företag ta alla tecken på att angripare har tillgång till sin molninfrastruktur på allvar, säger CrowdStrikes Ahuje.
"När angripare kör en kryptominerare i din miljö är detta ett symptom på att din första försvarslinje har misslyckats", säger han. "Kryptominers lämnar inga stenar ovända för att utnyttja denna attackyta till sin fördel."
