Trend Micro, l'un des principaux fournisseurs mondiaux de solutions de cybersécurité, publie un nouveau rapport de recherche sur le cryptomining. Le rapport détaille comment les cybercriminels compromettent et abusent des infrastructures cloud des entreprises. Encore et encore, différents groupes se battent même pour le contrôle des systèmes concernés.
Le rapport montre que les acteurs de la menace recherchent et exploitent de plus en plus des entités vulnérables. Entre autres choses, ils utilisent le forçage brutal des informations d'identification SecureShell (SSH) pour compromettre les ressources cloud pour l'extraction de crypto-monnaie. Les victimes ont souvent des logiciels cloud obsolètes dans l'environnement cloud, un manque d'hygiène de sécurité cloud ou une connaissance insuffisante de la protection des services cloud. Cela permet aux attaquants d'accéder plus facilement aux systèmes.
Gros investissements dans le cloud computing
Les investissements dans le cloud computing ont explosé pendant la pandémie. Le déploiement simple des nouveaux systèmes signifie que de nombreuses applications cloud sont en ligne plus longtemps que nécessaire - souvent sans correctif et mal configurées.
Le cryptominage malveillant a diverses conséquences négatives pour les entreprises concernées : d'une part, la charge de travail informatique supplémentaire menace de ralentir d'importants services cloud. D'autre part, les coûts d'exploitation de chaque système infecté augmentent jusqu'à 600 %. De plus, le cryptomining peut être le signe avant-coureur d'un compromis encore plus sérieux. De nombreux acteurs professionnels de la menace utilisent des logiciels de minage pour générer des revenus supplémentaires avant que les acheteurs en ligne n'achètent l'accès aux ransomwares, aux données volées, etc.
Les coûts d'exploitation des systèmes infectés augmentent de 600 %
Une analyse des statistiques de détection des attaques par les groupes de cryptominage. Le rapport janvier-août 2021 montre des tendances intéressantes. Ces groupes attaquent le cloud et se disputent le système (Image : Trend Micro).
« Quelques minutes de compromis peuvent apporter des bénéfices aux attaquants. Par conséquent, nous observons une bataille continue pour les ressources CPU du cloud. C'est comme un jeu de « capture du drapeau » dans le monde réel, où le terrain de jeu est l'infrastructure cloud de l'entreprise », a déclaré Richard Werner, Business Consultant chez Trend Micro. «Des menaces comme celle-ci nécessitent une sécurité unifiée basée sur la plate-forme pour garantir que les attaquants n'ont nulle part où se cacher. La bonne plate-forme aide les équipes informatiques à voir leur surface d'attaque, à évaluer les risques et à choisir la bonne protection sans ajouter de frais généraux importants. »
Les chercheurs de Trend Micro détaillent les activités de plusieurs groupes de menaces de cryptominage, notamment les groupes suivants et leur modus operandi :
- Outlaw compromet les appareils Internet des objets (IoT) et les serveurs cloud Linux en exploitant des vulnérabilités connues ou en effectuant des attaques par force brute sur SSH.
- TeamTNT utilise des logiciels vulnérables pour compromettre les hôtes. Le groupe vole ensuite des informations d'identification pour des services supplémentaires afin d'accéder à de nouveaux hôtes et d'abuser de leurs services mal configurés.
- Kinsing installe un kit XMRig pour l'extraction de Monero, supprimant tous les autres mineurs du système affecté au cours du processus.
- 8220 est en concurrence avec Kinsing pour les mêmes systèmes. Ils s'expulsent souvent d'un hôte, puis installent leurs propres mineurs de crypto-monnaie.
- Kek Security est associé à des logiciels malveillants IoT et à des services de botnet en cours d'exécution.
Pour atténuer la menace d'attaques de minage de crypto-monnaie dans le cloud, Trend Micro recommande les mesures de sécurité suivantes pour les entreprises :
- Assurez-vous que les systèmes sont à jour et que seuls les services requis sont en cours d'exécution.
- Utilisez des pare-feux, des systèmes de détection d'intrusion (IDS)/systèmes de prévention d'intrusion (IPS) et la sécurité des terminaux cloud pour limiter et filtrer le trafic réseau des hôtes malveillants connus.
- Évitez les erreurs de configuration à l'aide des outils de gestion de la posture de sécurité du cloud.
- Surveillez le trafic vers et depuis les instances cloud et filtrez les domaines associés aux pools de minage connus.
- Implémentez des règles basées sur les coûts pour surveiller les ports ouverts, les modifications du routage DNS (Domain Name System) et l'utilisation des ressources CPU.
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.