Il cryptojacking, un tipo di attacco informatico che utilizza la potenza di calcolo per estrarre criptovalute, assume la forma di abuso delle risorse di calcolo nel cloud. Questo comporta un attore minaccioso che compromette i legittimi inquilini del cloud. L’abuso delle risorse di calcolo nel cloud potrebbe comportare una perdita finanziaria per le organizzazioni bersaglio a causa delle spese di calcolo che possono essere sostenute a causa dell’abuso.
Come funziona il cryptojacking nel cloud
Per eseguire il cryptojacking nel cloud, gli attori minacciosi devono tipicamente avere accesso a credenziali compromesse ottenute attraverso vari mezzi, evidenziando la necessità di implementare le migliori pratiche comuni come l’igiene delle credenziali e il rafforzamento del cloud. Una volta ottenuto l’accesso al tenant, gli attori minacciosi creano grandi quantità di calcolo, preferendo i tipi di core che consentono loro di estrarre più valuta più velocemente.
Impatto del cryptojacking
Gli attacchi di cryptojacking di successo potrebbero comportare significative spese inaspettate per l’inquilino compromesso e l’esaurimento delle risorse di cui l’inquilino potrebbe aver bisogno per la continuità operativa, potenzialmente causando un’interruzione del servizio. Questo evidenzia la necessità di prevenire, rilevare e mitigare gli attacchi di cryptojacking nel cloud.
Come difendersi dal cryptojacking
Le squadre di sicurezza dovrebbero monitorare e rivedere regolarmente gli avvisi specifici per questi scenari. In ambienti in cui la creazione di calcolo o l’aumento della quota sono rari, dovrebbero essere costruiti avvisi aggiuntivi per monitorare le operazioni associate all’interno del proprio strumento SIEM come Microsoft Sentinel.
Raccomandazioni di Microsoft
Microsoft raccomanda la separazione dei ruoli privilegiati, l’uso dell’autenticazione multifattore, l’analisi dei comportamenti di accesso basati sul rischio e le politiche di accesso condizionale, la limitazione della quota inutilizzata e il monitoraggio per aumenti inaspettati della quota, e il monitoraggio per indirizzi IP di Azure esterni autenticati con il proprio tenant.