Una ricerca rilasciata da Aqua Security ha rilevato un aumento dell’uso di backdoor, rootkit e ruba-credenziali – finalizzati al furto o al mining di criptovalute.
Il Team Nautilus del ha dichiarato di aver trovato backdoor nel 54% degli attacchi osservati in aumento del 9% rispetto al 2020. I ricercatori hanno anche scoperto che il 51% delle immagini dei container dannosi contenevano worm, in aumento del 10% rispetto al 2020. Gli attori delle minacce hanno anche ampliato i loro obiettivi per includere ambienti CI/CD e Kubernetes. I ricercatori hanno detto che nel 2021, il 19% delle immagini container dannose ha preso di mira Kubernetes, in aumento del 9% rispetto all’anno precedente.
“Questi risultati sottolineano la realtà che gli ambienti nativi del cloud ora rappresentano un obiettivo per gli attaccanti e che le tecniche sono sempre in evoluzione” sostiene Assaf Morag, threat intelligence e data analyst lead per il Team Nautilus di Aqua. “L’ampia superficie di attacco di un cluster Kubernetes è attraente per gli attori delle minacce, e poi una volta che sono dentro, sono alla ricerca di frutti a basso impatto“.
Il design cloud-native si basa su un nuovo stack tecnologico che mette i contenitori, Kubernetes e la rete di servizi davanti e al centro, ha detto Yaniv Balmas, vice presidente della ricerca presso Salt Security. Balmas ha detto che genera anche un sacco di sviluppo, integrazione e consumo di API, che espande significativamente la superficie di attacco.
“Crypto mining, backdoor, rootkit, ladri di credenziali questi sono tutti parte del toolkit dell’attaccante cloud-native“, ha detto Balmas. “Ma questa lista non è esclusiva, perchè ci sono stati anche casi di falsificazioni di richieste lato server che hanno creato danni significativi. Un buon esempio è l’incidente di Capital One, dove gli aggressori hanno usato applicazioni web o API web come porta d’ingresso nei servizi di metadati e nell’infrastruttura back-end del cloud provider“.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
Ratan Tipirneni, presidente e CEO di Tigera, ha detto che man mano che il mercato dei container e Kubernetes matura, vediamo i clienti spostare i carichi di lavoro mission-critical su queste piattaforme. Questo cambierà la natura degli attacchi, dato che gli aggressori passano da attività innocue come il cryptomining ad attacchi più dannosi per rubare i dati e tenere le aziende a riscatto, ha detto Tipirneni.
“Mentre i carichi di lavoro nativi del cloud portano un sacco di vantaggi, dobbiamo fare i conti con il fatto che portano una superficie di attacco molto grande con loro e forniscono più rampe per gli attaccanti“, ha detto Tipirneni. “Anche se è scomodo da affrontare, dobbiamo affrontare il fatto che le minacce persistenti sono suscettibili di essere iniettate nei moderni carichi di lavoro cloud e possono esistere per lunghi periodi di tempo. Prevenire il movimento laterale deve diventare un’igiene di sicurezza di base simile alla scansione delle immagini“.
