I criminali del cryptomining si stanno concentrando sul cloud

Il cryptomining basato sul cloud si è evoluto in una forma vivace di criminalità informatica e una varietà di gruppi di attacco si stanno combattendo l'un l'altro per l'accesso agli account cloud.

I gruppi di criptovalute hackerano gli account di cloud computing delle vittime, utilizzando la loro potenza di calcolo per estrarre criptovaluta, ha spiegato Trend Micro nel suo ultimo rapporto. La ricerca, intitolata "A Floating Battleground:Navigating the Landscape of Cloud-Based Cryptocurrency Mining", ha avvertito che le vittime rischiano di perdere più del costo di bollette più elevate per il cloud computing.

Gli attacchi di cryptomining utilizzano le risorse della GPU cloud, che offrono prestazioni di mining migliori, o compromettono le CPU su larga scala, afferma il rapporto. Quest'ultimo richiede di compromettere il maggior numero possibile di istanze in un account cloud per estrarre quanta più valuta digitale possibile.

Trend Micro ha eseguito XMRig, che estrae la criptovaluta Monero, sulla propria istanza cloud e ha visto l'utilizzo della CPU passare dal 13% al 100%. Ciò aumenterebbe i costi dell'elettricità da $ 20 a $ 130 al mese e l'esecuzione su più istanze aumenterebbe notevolmente le bollette del cloud.

Mentre alcuni gruppi di attacco utilizzano il cryptomining come principale fonte di reddito, altri si concentrano sulla vendita sull'accesso agli account cloud e sul mio solo mentre aspettano un acquirente. I gruppi spesso combattono tra loro per le risorse cloud, utilizzando kill script per spazzare via il malware l'uno dall'altro.

Il rapporto descrive in dettaglio diversi gruppi di cryptomining attivi. Il più attivo ad agosto 2021 si chiamava 8220. Trend Micro ha rilevato un picco di 2.000 beacon sui suoi server nel luglio dello scorso anno, scendendo a poco più di 1.000 il mese successivo.

8220 avevano preso il primo posto da Kinseng, un altro gruppo che era sceso a circa 500 beacon al mese ad agosto dai 2.000 di gennaio. Questi due gruppi spesso combattono tra loro, espellendo reciprocamente il malware dai server di destinazione.

Altri gruppi includono Outlaw, che prende di mira costantemente i dispositivi IoT e i server Linux, usando attacchi SSH di forza bruta. Un rivale, TeamTNT, ha evoluto rapidamente la sua tattica sfruttando servizi software, rubando credenziali AWS e distribuendo root kit. Questa banda ora appare inattiva.

Un attacco di cryptomining è un segno di scarsa sicurezza informatica che potrebbe rendere la vittima aperta a più attacchi, ha avvertito Trend Micro. La maggior parte degli attacchi sfrutta software obsoleti. Gli utenti del cloud dovrebbero assicurarsi che i loro sistemi siano aggiornati e che eseguano solo i servizi richiesti, ha affermato.

Il rapporto ha anche identificato la sicurezza delle API come un problema, avvertendo i clienti cloud di non esporre le API di prodotti come Docker e Kubernetes a Internet. Mantienili accessibili solo agli amministratori, ha aggiunto.

Altre misure di mitigazione includono l'impostazione di soglie per metriche come l'attività della CPU e gli elenchi di autorizzazioni per le connessioni esterne.

I grandi fornitori di servizi cloud hanno riconosciuto il problema del cryptomining. Il mese scorso, Google ha aggiunto la protezione dal cryptomining ai suoi servizi cloud dopo infezioni diffuse.