Una recente tendenza tra gli attori malintenzionati impegnati in attività di Crypto Mining è quella di concentrare i propri sforzi sul cloud. Mentre il mining basato su GPU rimane il metodo preferito per la maggior parte dei minatori di criptovalute legittimi a causa della sua maggiore redditività, la scalabilità del cloud consente al mining basato su CPU di diventare redditizio, specialmente quando gli aggressori riescono a compromettere un gran numero di macchine connesse al cloud.
In questo panorama, i gruppi di attori malintenzionati non solo hanno a che fare con i sistemi di sicurezza e il personale di un’organizzazione target, ma devono anche competere tra loro per risorse limitate. La battaglia per prendere e mantenere il controllo sui server di una vittima è una delle principali forze trainanti per l’evoluzione degli strumenti e delle tecniche di questi gruppi, spingendoli a migliorare costantemente la loro capacità di rimuovere i concorrenti dai sistemi compromessi e, allo stesso tempo, resistere alla propria rimozione.
Il dato emerge dall’ultima di ricerca Trend Micro, leader globale di cybersecurity, dal titolo “A Floating Battleground. Navigating the Landscape of Cloud-Based Cryptocurrency Mining”.
“Anche poche ore di compromissione potrebbero tradursi in profitti per i cybercriminali. Ecco perché assistiamo a una lotta continua per le risorse computazionali in cloud – afferma Salvatore Marcis, Technical Director di Trend Micro Italia – Minacce come questa richiedono una sicurezza organizzata e distribuita, per assicurarsi che i malintenzionati non abbiano nessun posto dove nascondersi. La piattaforma corretta supporta i team nel mantenere visibilità e controllo della propria infrastruttura cloud, mappare la superficie di attacco, valutarne i rischi e applicare la protezione corretta senza aggiungere costi eccessivi di run-time”.
Crypto mining, pericolo del +600% dei costi operativi e di una compromissione più seria
Con l’obiettivo di compromettere gli asset cloud per il mining di criptovalute, i cybercriminali cercano di trovare e sfruttare le istanze esposte, oltre a ricercare accessi deboli di SecureShell (SSH) attraverso attacchi di forza bruta. Gli obiettivi sono spesso caratterizzati dall’avere software non aggiornati, una postura di sicurezza cloud non conforme e una conoscenza inadeguata su come mettere in sicurezza i servizi cloud, tutti elementi che vengono sfruttati dai cybercriminali per avere accesso ai sistemi.
Gli investimenti in cloud computing sono aumentati durante la pandemia, ma la facilità con la quale gli asset possono essere implementati ha lasciato molte istanze cloud esposte online senza patch, o configurate in maniera errata. I costi computazionali aggiuntivi, provocati dal mining, minacciano di rallentare i servizi chiave rivolti agli utenti all’interno delle organizzazioni vittime, oltre ad aumentare i costi operativi fino al 600% in ogni sistema infetto.
Il mining di criptovalute può anche essere l’allarme di una compromissione più seria. Gli strumenti e le tecniche utilizzati dai gruppi di mining di criptovaluta per ottenere l’accesso ai sistemi dei loro obiettivi possono essere utilizzati anche da altri gruppi per scopi forse più dannosi come ransomware, furto di dati e altro ancora.
La ricerca Trend Micro svela le attività di diversi gruppi cybercriminali in questo ambito, come ad esempio:
- Outlaw, che compromette i device IoT e i cloud server Linux sfruttando le vulnerabilità conosciute o attraverso attacchi di forza bruta SSH
- TeamTNT, che sfrutta i software vulnerabili per compromettere gli host prima di sottrarre le credenziali per altri servizi, con l’obiettivo di raggiungere nuovi host e approfittare di ogni servizio mal configurato
- Kingsing, che imposta un kit XMRig per il mining di Monero ed espelle altri miner fuori dal sistema vittima
- 8220, che è stato visto scontrarsi con Kinsing sulle stesse risorse. Questi gruppi sono soliti espellersi a vicenda da un host e installare i propri miner di crypto valuta
- Kek Security, che è stato associato a malware IoT e all’esecuzione di servizi botnet
Come difendersi dagli attacchi di crypto mining basati su cloud
Fortunatamente, le organizzazioni non sono impotenti quando si tratta di difendere i loro sistemi dagli attacchi di mining di criptovaluta basati su cloud. Trend Micro incoraggia le organizzazioni a rafforzare la sicurezza delle loro implementazioni cloud in generale.
Per mitigare le minacce che derivano dagli attacchi di mining di criptovalute in cloud, Trend Micro raccomanda di implementare best practice comuni come l’applicazione tempestiva di patch e l’aggiornamento del software per ridurre la possibilità di sfruttamento delle vulnerabilità nelle versioni obsolete del software.
Un’altra buona pratica è ridurre al minimo l’esposizione a elementi dannosi assicurando che i sistemi cloud eseguano solo i servizi richiesti ed evitando l’esposizione delle API a Internet e limitando invece l’interazione solo agli amministratori e ad altri dipendenti specifici.
Le organizzazioni dovrebbero inoltre prendere in considerazione la distribuzione di strumenti in grado di limitare e filtrare il traffico di rete da e verso host dannosi, come firewall, sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) e prodotti per la sicurezza degli endpoint cloud.
Una buona idea è anche consultare le linee guida sulla sicurezza dei provider di servizi cloud come Amazon Web Services, Google Cloud Platform, Microsoft Azure e Oracle Cloud, poiché possono aiutare sia nella corretta configurazione che nella protezione degli ambienti cloud.
Ci sono anche difese su misura per gli attacchi di mining di criptovaluta basati su cloud. Ad esempio, è possibile impostare regole per monitorare l’utilizzo delle risorse, tenere traccia delle porte aperte e controllare l’utilizzo e le modifiche apportate al routing DNS.
Immagine fornita da Shutterstock