Trend Micro: «облака» превратились в поле битвы нелегальных майнеров криптовалют

Корпорация Trend Micro, мировой лидер в области кибербезопасности, опубликовала доклад, в котором говорится об ожесточенной борьбе за ресурсы между вредоносными группами майнеров криптовалют. Он получил название Navigating New Frontiers. Trend Micro 2021 Annual Cybersecurity Report — делимся главными моментами.

Инвестиции в облачные вычисления резко возросли во время пандемии. Но лёгкость развёртывания облачной инфраструктуры привела к тому, что многие небезопасно сконфигурированные облачные службы работают в открытом доступе дольше, чем необходимо, и не содержат необходимых исправлений для известных уязвимостей.

По данным доклада, хакерские группировки ищут экземпляры таких серверов и взламывают их, используя слабости конфигурации и перебор паролей. Скомпрометированные облачные серверы часто содержат устаревшее программное обеспечение и небезопасные настройки, поскольку обслуживающие их сотрудники компаний не обладают достаточными знаниями о том, как обеспечить высокую степень защиты. Получив доступ к системе, они устанавливают программы для нелегальной добычи криптовалюты, которые замедляют работу ключевых пользовательских сервисов пострадавших организаций, а также могут увеличить операционные расходы до 600% на каждую заражённую систему.

Также эксперты предупреждают, что наличие программ для нелегального майнинга может быть предвестником более серьёзной компрометации. Многие хакерские группировки устанавливают программное обеспечение для майнинга, чтобы получить дополнительный доход, пока ищут покупателей на доступ к системам и находящимся на них данным.

В докладе Trend Micro подробно описывается деятельность нескольких кибергруппировок, специализирующихся на нелегальном майнинге:

● Outlaw — компрометирует устройства IoT и облачные серверы Linux, используя известные уязвимости и перебор паролей для учётных записей;

● TeamTNT — использует уязвимости программного обеспечения для компрометации узлов, а затем крадёт учётные данные для других сервисов и с их помощью перемещается на новые узлы и эксплуатируют неправильно настроенные сервисы;

● Kinsing — хак-группа, которая устанавливает ПО XMRig для майнинга криптовалюты Monero и удаляет программы конкурирующих майнеров из системы жертвы;

● 8220 — группировка, замеченная в борьбе за ресурсы с Kinsing — они часто вытесняют друг друга с хоста, а затем устанавливают собственные майнеры;

● Kek Security — группа, связанная с вредоносным ПО для IoT и запуском ботнет-сервисов.

Чтобы снизить угрозу атак на майнинг криптовалюты в "облаке", Trend Micro рекомендует организациям:

● убедиться, что системы обновлены, и на них работают только необходимые службы;

● развернуть межсетевые экраны, IDS/IPS и средства защиты конечных точек в облаке для ограничения и фильтрации сетевого трафика к известным вредоносным узлам и от них;

● устранить ошибки конфигурации облачных служб с помощью инструментов Cloud Security PostureManagement;

● организовать мониторинг входящего и исходящего трафика облачных серверов, а также фильтрацию доменов, связанных с известными пулами для майнинга;

● создать правила, отслеживающих открытые порты, изменения в маршрутизации DNS и использование ресурсов ЦП.

"Всего несколько часов компрометации могут принести злоумышленникам прибыль. Именно поэтому мы наблюдаем непрерывную борьбу за ресурсы облачных процессоров. Это похоже на игру "Захват флага", только по-настоящему, и полем боя становится облачная инфраструктура жертвы. Подобные угрозы требуют комплексной безопасности на базе платформы, которая не позволяет злоумышленникам спрятаться. Такая платформа поможет командам составить карту поверхности атаки, оценить риски и применить необходимую защиту без чрезмерных накладных расходов", — говорит Стивен Хилт, старший исследователь угроз в Trend Micro.

Ранее мы рассказывали об уязвимости, которую обнаружили в рамках национальной площадки BugBounty.kz.