0
0
A Trend Micro anunciou um relatório revelando uma batalha feroz, hora a hora, por recursos entre grupos maliciosos de mineração de criptomoedas.
“Apenas algumas horas de compromisso podem resultar em lucros para os criminosos. É por isso que estamos vendo uma luta contínua por recursos de CPU em nuvem. É semelhante a uma captura da bandeira da vida real, com a infraestrutura de nuvem da vítima no campo de batalha”, disse Stephen Hilt, pesquisador sênior de ameaças da Trend Micro.
“Ameaças como essa precisam de segurança baseada em plataforma para garantir que os bandidos não tenham onde se esconder. A plataforma certa ajudará as equipes a mapear sua superfície de ataque, avaliar o risco e solicitar a proteção certa sem adicionar sobrecargas excessivas.”
Os atores de ameaças estão cada vez mais procurando e explorando essas instâncias expostas, bem como credenciais de SecureShell (SSH) que forçam bruscamente, a fim de comprometer os ativos em nuvem para a mineração de criptomoedas, revela o relatório. As metas são frequentemente caracterizadas por ter softwares de nuvem desatualizados no ambiente de nuvem, má higiene da segurança na nuvem ou conhecimento inadequado sobre como proteger serviços de nuvem e, portanto, facilmente explorado por atores de ameaças para obter acesso aos sistemas.
A vulnerabilidade da nuvem
Os investimentos em computação em nuvem aumentaram durante a pandemia. Mas a facilidade com que novos ativos podem ser implantados também deixou muitas instâncias de nuvem on-line por mais tempo do que o necessário — não reparada e desconfigurada.
Por um lado, essa carga de trabalho extra de computação ameaça retardar os principais serviços voltados para o usuário para as organizações vítimas, bem como aumentar os custos operacionais em até 600% para cada sistema infectado.
A mineração de criptomoedas também pode ser um precursor de um compromisso mais sério. Muitos atores maduros de ameaças implantam software de mineração para gerar receita adicional antes que os compradores on-line comprem acesso para ransomware, roubo de dados e muito mais.
O relatório detalha a atividade de vários grupos de atores de ameaças neste espaço, incluindo:
- Outlaw, que compromete dispositivos IoT e servidores em nuvem Linux, explorando vulnerabilidades conhecidas ou realizando ataques SSH de força bruta.
- TeamTNT, que explora softwares vulneráveis para comprometer hosts antes de roubar credenciais para outros serviços para ajudá-lo a se mover para novos hosts e abusar de quaisquer serviços mal configurados.
- Kinsing, que monta um kit XMRig para minerar Monero e expulsa qualquer outro mineiro de um sistema de vítimas.
- 8220, que tem sido observado lutando contra Kinsing sobre os mesmos recursos. Eles frequentemente ejetam uns aos outros de um host e, em seguida, instalam seus próprios mineradores de criptomoedas.
- Kek Security, que tem sido associado com malware IoT e executando serviços de botnet.
Mitigar a ameaça de ataques maliciosos de mineração de criptomoedas na nuvem
- Certifique-se de que os sistemas estão atualizados e executando apenas os serviços necessários
- Implantar segurança de firewall, IDS/IPS e ponto final na nuvem para limitar e filtrar o tráfego de rede de e para hosts ruins conhecidos
- Eliminar erros de configuração através de ferramentas de gerenciamento de postura de segurança na nuvem
- Monitorar o tráfego de e para instâncias de nuvem e filtrar domínios associados a pools de mineração conhecidos
- Implantar regras que monitoram portas abertas, alterações no roteamento de DNS e utilização de recursos de CPU de uma perspectiva de custo
FONTE: HELPNET SECURITY