Trend Micro Incorporated, líder global en ciberseguridad, ha anunciado un nuevo informe que revela una feroz batalla entre grupos maliciosos, hora a hora, por los recursos de minería de criptomonedas.
"Unas pocas horas de compromiso pueden suponer beneficios para los autores. Por eso vemos una lucha continua por los recursos de CPU en la nube. Es similar un capture-the-flag en la vida real, con la infraestructura de la nube de la víctima como campo de batalla", apunta Stephen Hilt, investigador senior de amenazas de Trend Micro. "Las amenazas de este tipo necesitan una seguridad conjunta e integrada, basada en la plataforma para garantizar que los delincuentes no tengan dónde esconderse. La plataforma adecuada ayudará a los equipos a mapear su superficie de ataque, evaluar el riesgo y solicitar la protección adecuada sin añadir excesivos gastos generales”.
Los actores de amenazas están buscando y explotando cada vez más estas instancias expuestas, así como forzando las credenciales de SecureShell (SSH), con el fin de comprometer los activos de la nube para la minería de criptomonedas, revela el informe. Los objetivos a menudo se caracterizan por tener un software obsoleto en el entorno de la nube, una mala higiene de seguridad en la nube o un conocimiento inadecuado sobre cómo proteger los servicios en la nube y, por lo tanto, son fácilmente explotados por los actores de amenazas para obtener acceso a los sistemas.
Las inversiones en cloud computing han aumentado durante la pandemia. Pero la facilidad con la que se pueden desplegar nuevos activos también ha dejado muchas instancias en la nube online durante más tiempo del necesario, sin parches y mal configuradas.
Por un lado, esta carga extra de trabajo informático amenaza con ralentizar los servicios clave de cara al usuario para las organizaciones víctimas, además de aumentar los costes operativos hasta en un 600% por cada sistema infectado.
La minería de criptomonedas también puede ser un precursor de un compromiso más serio. Muchos actores de amenazas maduras despliegan software de minería para generar ingresos adicionales antes de que los compradores online adquieran el acceso para el ransomware, el robo de datos y más.
El informe de Trend Micro detalla la actividad de múltiples grupos de actores de amenazas en este espacio, incluyendo:
- Outlaw, que compromete los dispositivos IoT y los servidores Linux en la nube explotando vulnerabilidades conocidas o realizando ataques SSH de fuerza bruta.
- TeamTNT, que aprovecha el software vulnerable para comprometer los hosts antes de robar las credenciales de otros servicios para ayudar a desplazarse a nuevos hosts y abusar de cualquier servicio mal configurado.
- Kinsing, que configura un kit XMRig para minar Monero y expulsa a cualquier otro minero de un sistema víctima.
- 8220, que se ha observado luchando contra Kinsing por los mismos recursos. Con frecuencia se expulsan mutuamente de un host y luego instalan sus propios mineros de criptomonedas.
- Kek Security, que se ha asociado con el malware IoT y con la ejecución de servicios de botnet.
Para mitigar la amenaza de los ataques de minería de criptomonedas en la nube, Trend Micro recomienda a las organizaciones:
- Garantizar que los sistemas estén actualizados y que solo se ejecuten los servicios necesarios
- Desplegar firewall, IDS/IPS y seguridad endpoint en la nube para limitar y filtrar el tráfico de red hacia y desde hosts malos conocidos
- Eliminar los errores de configuración mediante herramientas de gestión de la postura de seguridad en la nube
- Supervisar el tráfico hacia y desde las instancias de la nube y filtrar los dominios asociados a grupos de minería conocidos
- Implantar reglas que supervisen los puertos abiertos, los cambios en el enrutamiento DNS y la utilización de los recursos de la CPU desde el punto de vista de los costes.
Para leer una copia completa del informe, Un campo de batalla flotante: navegando por el panorama de la minería de criptomonedas basada en la nube, visita: