Trend Micro, leader mondiale della sicurezza informatica, ha annunciato oggi un nuovo rapporto che rivela una battaglia feroce, ora per ora, per le risorse tra i gruppi di mining di criptovalute dannose.
Per leggere il rapporto “A Floating Battleground Navigating the Landscape of Cloud-Based Cryptocurrency Mining”
“Solo poche ore di compromissione potrebbero risultare in profitti per gli autori. Ecco perché stiamo assistendo ad una continua lotta per le risorse CPU del cloud. È simile a una vera e propria cattura della bandiera, con l’infrastruttura cloud della vittima come campo di battaglia“, ha dichiarato Stephen Hilt, Senior Threat Researcher di Trend Micro. “Minacce come questa hanno bisogno di una sicurezza unita e basata sulla piattaforma per garantire che i cattivi non abbiano un posto dove nascondersi. La giusta piattaforma aiuterà i team a mappare la loro superficie di attacco, valutare il rischio e richiedere la giusta protezione senza aggiungere spese generali eccessive“.
Gli attori delle minacce stanno sempre più cercando e sfruttando queste istanze esposte, così come il brute-forcing delle credenziali di SecureShell (SSH), al fine di compromettere le risorse cloud per il mining di criptovaluta, secondo quanto rivelato nel rapporto. Gli obiettivi sono spesso caratterizzati dall’avere un software cloud obsoleto nell’ambiente cloud, una scarsa igiene di sicurezza cloud, o una conoscenza inadeguata su come proteggere i servizi cloud e quindi facilmente sfruttati dagli attori delle minacce per ottenere l’accesso ai sistemi.
Gli investimenti nel cloud computing sono aumentati durante la pandemia. Ma la facilità con cui le nuove risorse possono essere distribuite ha anche lasciato molte istanze di cloud online più a lungo del necessario, senza patch e mal configurate.
Da un lato, questo carico di lavoro extra minaccia di rallentare i servizi chiave per le organizzazioni vittime, oltre ad aumentare i costi operativi fino al 600% per ogni sistema infetto.
Il crypto mining può anche essere un precursore di un compromesso più serio. Molti attori maturi delle minacce distribuiscono software di mining per generare entrate aggiuntive prima che gli acquirenti online acquistino l’accesso per ransomware, furto di dati e altro.
Il rapporto di Trend Micro dettaglia l’attività di più gruppi di attori di minacce in questo spazio, tra cui:
- Outlaw, che compromette i dispositivi IoT e i server cloud Linux sfruttando vulnerabilità note o eseguendo attacchi SSH brute-force.
- TeamTNT, che sfrutta il software vulnerabile per compromettere gli host prima di rubare le credenziali per altri servizi per aiutarlo a spostarsi su nuovi host e abusare di qualsiasi servizio mal configurato.
- Kinsing, che imposta un kit XMRig per il mining di Monero e butta fuori da un sistema vittima qualsiasi altro minatore.
- 8220, che è stato osservato combattere Kinsing per le stesse risorse. Spesso si espellono a vicenda da un host e poi installano i propri minatori di criptovaluta.
- Kek Security, che è stato associato al malware IoT e all’esecuzione di servizi botnet.
Per mitigare la minaccia degli attacchi di mining di criptovaluta nel cloud, Trend Micro raccomanda alle organizzazioni di:
- Assicurarsi che i sistemi siano aggiornati ed eseguano solo i servizi richiesti
- Distribuire firewall, IDS/IPS e sicurezza degli endpoint in-the-cloud per limitare e filtrare il traffico di rete da e verso gli host cattivi conosciuti
- Eliminare gli errori di configurazione tramite gli strumenti di gestione della postura di sicurezza in-the-cloud
- Monitorare il traffico da e verso le istanze in-the-cloud e filtrare i domini associati a pool minerari noti
- Distribuire regole che monitorano le porte aperte, le modifiche al routing DNS e l’utilizzo delle risorse della CPU dal punto di vista dei costi
