0
0
Os servidores on-premise e baseados em nuvem das organizações são comprometidos, abusados e alugados como parte de um sofisticado ciclo de vida de monetização criminal, segundo a pesquisa da Trend Micro.
As descobertas vêm de um relatório que analisa como funciona o mercado de hospedagem subterrânea. As descobertas mostram que a atividade de mineração de criptomoedas deve ser o indicador para as equipes de segurança de TI estarem em alerta máximo.
Atividade de criptomining usada para monetizar servidores comprometidos
Embora a atividade de criptominização não possa causar interrupções ou perdas financeiras por conta própria, o software de mineração geralmente é implantado para monetizar servidores comprometidos que estão ociosos enquanto os criminosos planejam esquemas maiores de fazer dinheiro. Estes incluem exfiltrar dados valiosos, vender acesso ao servidor para mais abusos ou se preparar para um ataque de ransomwaredirecionado .
Todos os servidores encontrados para conter criptominers devem ser sinalizados para remediação imediata e investigação.
“Desde hospedagem à prova de balas dedicada a serviços de anonimização, fornecimento de nomes de domínio e ativos legítimos comprometidos, o subterrâneo cibernético possui uma gama sofisticada de ofertas de infraestrutura para apoiar campanhas de monetização de todos os tipos”, disse Bob McArdle, diretor de pesquisa de ameaças prospectivas da Trend Micro.
“Nosso objetivo é aumentar a conscientização e a compreensão da infraestrutura cibernética para ajudar as agências de aplicação da lei, clientes e outros pesquisadores a bloquear avenidas para crimes cibernéticos e aumentar os custos para os atores de ameaças.”
Servidores em nuvem particularmente expostos
Os servidores em nuvem estão particularmente expostos a compromissos e uso em infraestruturas de hospedagem subterrânea, pois podem estar sem a proteção de seus equivalentes no local.
McArdle continuou: “Ativos corporativos legítimos comprometidos podem ser infiltrados e abusados, seja no local ou na nuvem. Uma boa regra é que o que for mais exposto é mais provável que seja explorado.”
Os cibercriminosos podem procurar explorar vulnerabilidades no software do servidor, usar ataques de força bruta para comprometer credenciais ou roubar logins e implantar malware através de ataques de phishing. Eles podem até atingir o software de gerenciamento de infraestrutura (chaves de API em nuvem), o que lhes permite criar novas instâncias de máquinas virtuais ou recursos de fornecimento.
Uma vez comprometidos, esses ativos de servidor em nuvem poderiam ser vendidos em fóruns subterrâneos, marketplaces dedicados e até redes sociais para uso em uma série de ataques.
FONTE: HELPNET SECURITY