Google Cloud ha annunciato una nuova funzione di sicurezza progettata per cacciare i casi di cryptojacking.
Il gigante tecnologico ha diffuso l’anteprima pubblica di Virtual Machine Threat Detection (VMTD) disponibile nel Security Command Center (SCC). L’SCC è una piattaforma per rilevare le minacce contro le risorse del cloud attraverso la scansione delle vulnerabilità di sicurezza e delle configurazioni errate.
Timothy Peacock, Product Manager di Google Cloud, ha detto che mentre le organizzazioni continuano a migrare verso il cloud, i carichi di lavoro sono spesso gestiti con architetture basate su VM.
Gli ambienti cloud sono anche un obiettivo primario per i cyberattaccanti in cerca di dati preziosi, così come quelli che intendono eseguire il malware di estrazione delle criptovalute. I minatori di criptovaluta come XMRig sono programmi legittimi per l’estrazione di monete. Quando sono nelle mani di attori minacciosi, i cryptominer possono essere abusati, tuttavia, e utilizzati senza permesso sui sistemi cloud.
In quello che è noto come attacchi di cryptojacking, i minatori vengono distribuiti su sistemi compromessi per rubare le risorse di calcolo della vittima. Le criptovalute tra cui Monero (XMR) sono spesso minate dai criminali informatici in questo modo e le monete vengono inviate ai portafogli controllati dagli operatori del malware. Secondo l’ultimo rapporto Threat Horizons di Google , su un campione di istanze compromesse, l’86% è stato utilizzato per il mining di criptovalute e il 10% per eseguire scansioni di altre istanze vulnerabili.
Per combattere lo spettro degli attacchi di cryptojacking contro le VM che operano in Google Cloud, la soluzione VMTD dell’azienda fornirà una “scansione della memoria senza agente” all’interno di SCC.
“La sicurezza tradizionale degli endpoint si basa sulla distribuzione di agenti software all’interno di una macchina virtuale ospite per raccogliere segnali e telemetria per informare il rilevamento delle minacce in fase di esecuzione“, ha detto Peacock. “Ma come accade in molte altre aree della sicurezza delle infrastrutture, la tecnologia cloud offre la possibilità di ripensare i modelli esistenti“.
L’approccio di Google è quello di istruire l’hypervisor a raccogliere segnali che possono indicare un’infezione. VMTD inizierà come un mezzo per rilevare il mining di criptovalute, ma quando sarà disponibile, il sistema sarà integrato con altre funzioni di Google Cloud. Gli utenti possono scegliere di provare VMTD abilitandolo nelle impostazioni SCC. Il servizio è opt-in e i clienti possono scegliere la portata dello scanner.
