cloud di AWS infettati per il mining
Buongiorno cari lettori, oggi parleremo parleremo di aws che è stato infettato per il mining di criptomoete.
Il brutto criptoverme installa anche una backdoor per perseguire ulteriormente con scopi nefasti.
Amazon è più spesso di quanto non lo sia nelle notizie sulla sicurezza informatica, con segnalazioni di server non esposti su AWS che vengono violati e quant'altro. Oggi, però, la ragione è molto più grave. Si è scoperto che un worm ha infettato il cloud dell'AWS e contemporaneamente ha effettuato la scansione di Internet per identificare anche le piattaforme Docker vulnerabili.
Segnalato dai ricercatori di Cado Security, il malware ruba le credenziali utente AWS con l'aiuto di un semplice codice. Creduto che provenga da TeamTNT, il worm usa queste credenziali per installare uno strumento minerario chiamato XMRig mining tool che lo aiuta a estrarre la criptovaluta Monero.
Cryptoworm che infetta AWS Cloud per estrarre la crittovaluta.
Ma non è tutto. Oltre a questa attività primaria, installa anche una serie di altri strumenti elencati di seguito:
Un pulitore di tronchi per rimuovere le tracce di attività dannose
Un rootkit chiamato Diamorphine
Uno strumento post-sfruttamento chiamato punk.py che funziona su SSH
Una porta sul retro chiamata Tsunami
Oltre a ciò, gli aggressori ricevono anche rapporti che indicano, tra l'altro, il totale dei sistemi infettati e il numero di monete estratte.
Cryptoworm che infetta la nuvola di AWS per estrarre la moneta criptata
Questo ha portato a circa 3 XMR/300 dollari secondo i ricercatori fino ad ora, ma altri casi sono ancora da vedere per avere un quadro reale del denaro rubato.
Per concludere, come per questo tipo di malware, il codice del worm è stato rubato da un worm già esistente di nome Kinsing, il cui uso previsto è contro gli strumenti di sicurezza di Alibaba Cloud.
Il verme informatico che infetta AWS Cloud per estrarre la valuta crittografica
Questo permette ai professionisti della sicurezza informatica di implementare meccanismi di difesa in grado di filtrare la stragrande maggioranza dei vermi là fuori, poiché riutilizzerebbero le stesse vecchie tecniche.
Per il momento, tutti gli utenti di AWS dovrebbero controllare se qualche file delle loro credenziali è stato erroneamente lasciato fuori all'aperto e cancellarlo immediatamente
Per la sicurezza quotidiana, il monitoraggio del traffico di rete può essere una scelta saggia, in quanto vi aiuterà a vedere tutte le connessioni provenienti dai vostri server e anche se coinvolge entità sospette come i "pool minerari". Come nota d'addio, per gli attacchi di Docker, i ricercatori affermano nel loro post sul blog che:
Utilizzare le regole del firewall per limitare l'accesso alle API di Docker. Si consiglia vivamente di utilizzare un approccio basato su una whitelist per le regole del firewall.
spero che questo articolo ti sia piaciuto noi ci vedremo ad un prossimo articolo.
