Обнаружена кампанию по добыче вредоносного ПО в биткоинах

[MoscowBit]

Исследователи кибербезопасности определили постоянную и амбициозную кампанию, которая ежедневно нацелена на тысячи серверов Docker с помощью майнера Bitcoin ( BTC ).

В отчете, опубликованном 3 апреля, Aqua Security выпустила предупреждение об угрозе атаки, которая якобы «продолжается уже несколько месяцев, причем тысячи попыток совершаются почти ежедневно». Исследователи предупреждают:

Цитата:

Это самые высокие цифры, которые мы когда-либо видели, намного превышающие то, что мы видели на сегодняшний день.

Такие масштабы и амбиции указывают на то, что незаконная кампания по майнингу биткойнов вряд ли будет «импровизированной попыткой», поскольку действующие лица должны опираться на значительные ресурсы и инфраструктуру.


Уничтожение вредоносных атак, декабрь 2019 г. - март 2020 г. Источник: блог Aqua Security

Используя инструменты анализа вирусов, Aqua Security идентифицировала вредоносное ПО как агента Linux на основе Golang, известного как Kinsing. Вредонос распространяется с использованием неверной конфигурации в портах Docker API. Он запускает контейнер Ubuntu, который загружает Kinsing, а затем пытается распространить вредоносное ПО на другие контейнеры и хосты.

Исследователи утверждают, что конечной целью кампании, которая была достигнута сначала путем использования открытого порта, а затем проведением серии тактик уклонения, является развертывание крипто-майнера на взломанном хосте.


Инфографика, показывающая полный поток атаки Kinsing. Источник: блог Aqua Security

Команда безопасности должна улучшить свою игру, говорит Aqua
Исследование Aqua дает подробное представление о компонентах кампании по борьбе с вредоносным ПО, которое является ярким примером того, что, по утверждению компании, является «растущей угрозой для облачных сред».

Исследователи отмечают, что злоумышленники увеличивают свою игру, чтобы проводить более сложные и амбициозные атаки. В ответ на это группам безопасности предприятия необходимо разработать более надежную стратегию для снижения этих новых рисков.

В числе своих рекомендаций Aqua предлагает группам идентифицировать все облачные ресурсы и сгруппировать их в логическую структуру, пересмотреть свои политики авторизации и аутентификации и настроить базовые политики безопасности в соответствии с принципом «наименьших привилегий».

Команды также должны исследовать журналы, чтобы найти действия пользователя, которые регистрируются как аномалии, а также внедрить инструменты облачной безопасности для усиления своей стратегии.

Растущая осведомленность
В прошлом месяце сингапурский стартап Acronis опубликовал результаты своего последнего исследования по кибербезопасности. Оно показало , что 86% IT - специалистов обеспокоены cryptojacking - промышленный термин для практики использования вычислительной мощности компьютера на руднике для cryptocurrencies без согласия или ведома владельца.