Trend Micro, uno dei principali fornitori mondiali di soluzioni di sicurezza informatica, pubblica un nuovo rapporto di ricerca sul cryptomining. Il rapporto descrive in dettaglio come i criminali informatici stanno compromettendo e abusando delle infrastrutture cloud aziendali. Gruppi diversi combattono continuamente per il controllo dei sistemi interessati.
Il rapporto mostra che gli autori delle minacce cercano e sfruttano sempre più entità vulnerabili. Tra le altre cose, utilizzano la forzatura bruta delle credenziali SecureShell (SSH) per compromettere le risorse cloud per il mining di criptovalute. Le vittime spesso hanno software cloud obsoleti nell’ambiente cloud, mancanza di igiene della sicurezza cloud o conoscenza insufficiente della protezione dei servizi cloud. Ciò facilita l’accesso degli aggressori ai sistemi.
Grandi investimenti nel cloud computing
Gli investimenti nel cloud computing sono saliti alle stelle durante la pandemia. La semplice implementazione dei nuovi sistemi fa sì che molte applicazioni cloud restino online più a lungo del necessario, spesso senza patch e mal configurate.
Il cryptomining dannoso ha diverse conseguenze negative per le aziende colpite: da un lato, il carico di lavoro informatico aggiuntivo rischia di rallentare importanti servizi cloud. D'altra parte, i costi operativi per ogni sistema infetto aumentano fino al 600%. Inoltre, il cryptomining può essere foriero di un compromesso ancora più serio. Molti autori di minacce professionisti utilizzano software di mining per generare entrate aggiuntive prima che gli acquirenti online acquistino da loro l'accesso a ransomware, dati rubati e altro ancora.
I costi operativi per i sistemi infetti aumentano del 600%.
“Solo pochi minuti di compromesso possono portare profitti agli aggressori. Pertanto, osserviamo una battaglia continua per le risorse della CPU cloud. È come un gioco “cattura la bandiera” nel mondo reale, in cui il campo di gioco è l'infrastruttura cloud dell'azienda”, ha affermato Richard Werner, consulente aziendale presso Trend Micro. “Minacce come questa richiedono una sicurezza unificata e basata su piattaforma per garantire che gli aggressori non abbiano nessun posto dove nascondersi. La piattaforma giusta aiuta i team IT a individuare la propria superficie di attacco, valutare i rischi e scegliere la giusta protezione senza incorrere in spese generali significative”.
I ricercatori di Trend Micro descrivono in dettaglio le attività di diversi gruppi di minacce al cryptomining, inclusi i seguenti gruppi e il loro modus operandi:
- Outlaw compromette i dispositivi Internet of Things (IoT) e i server cloud Linux sfruttando vulnerabilità note o eseguendo attacchi di forza bruta su SSH.
- TeamTNT utilizza software vulnerabile per compromettere gli host. Il gruppo quindi ruba le credenziali per servizi aggiuntivi al fine di accedere a nuovi host e abusare dei loro servizi configurati in modo errato.
- Kinsing installa un kit XMRig per il mining di Monero, rimuovendo nel frattempo tutti gli altri minatori dal sistema interessato.
- 8220 compete con Kinsing per gli stessi sistemi. Spesso si sfrattano a vicenda da un host e poi installano i propri minatori di criptovaluta.
- Kek Security è associato al malware IoT e all'esecuzione di servizi botnet.
Per mitigare la minaccia degli attacchi di mining di criptovaluta nel cloud, Trend Micro consiglia alle aziende le seguenti misure di sicurezza:
- Assicurati che i sistemi siano aggiornati e che siano in esecuzione solo i servizi richiesti.
- Utilizza firewall, sistemi di rilevamento delle intrusioni (IDS)/sistemi di prevenzione delle intrusioni (IPS) e sicurezza degli endpoint cloud per limitare e filtrare il traffico di rete per host dannosi noti.
- Evita errori di configurazione con l'aiuto degli strumenti di gestione del livello di sicurezza del cloud.
- Monitora il traffico da e verso le istanze cloud e filtra i domini associati ai pool minerari noti.
- Implementa regole basate sui costi per il monitoraggio delle porte aperte, delle modifiche al routing DNS (Domain Name System) e dell'utilizzo delle risorse della CPU.
Informazioni su TrendMicro In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.