Criminosos de criptomineração estão se concentrando na nuvem

A criptomineração baseada em nuvem evoluiu para uma forma vibrante de crime cibernético, e vários grupos de ataque estão lutando entre si pelo acesso a contas na nuvem.

Grupos de criptomineração hackeiam contas de computação em nuvem das vítimas, usando seu poder computacional para minerar criptomoedas, explicou a Trend Micro em seu último relatório. A pesquisa, chamada 'A Floating Battleground:Navigating the Landscape of Cloud-Based Cryptocurrency Mining', alertou que as vítimas podem perder mais do que o custo das contas mais altas de computação em nuvem.

Os ataques de criptomineração usam recursos de GPU na nuvem, que oferecem melhor desempenho de mineração, ou comprometem CPUs em escala, segundo o relatório. O último exige comprometer o maior número possível de instâncias em uma conta na nuvem para minerar o máximo possível de moeda digital.

A Trend Micro executou o XMRig, que minera a criptomoeda Monero, em sua própria instância de nuvem e viu o uso da CPU saltar de 13% para 100%. Isso aumentaria os custos de eletricidade de US$ 20 para US$ 130 por mês, e executar isso em várias instâncias aumentaria consideravelmente as contas de nuvem.

Enquanto alguns grupos de ataque usam criptomineração como sua principal fonte de renda, outros se concentram em vender acesso a contas na nuvem e apenas minerar enquanto esperam por um comprador. Os grupos geralmente lutam entre si por recursos de nuvem, usando scripts de eliminação para eliminar o malware uns dos outros.

O relatório detalha vários grupos de criptomineração ativos. O mais ativo em agosto de 2021 foi chamado de 8220. A Trend Micro detectou um pico de 2.000 beacons em seus servidores em julho do ano passado, caindo para pouco mais de 1.000 no mês seguinte.

8220 haviam conquistado o primeiro lugar de Kinseng, outro grupo que havia caído para cerca de 500 beacons por mês em agosto, de 2.000 em janeiro. Esses dois grupos geralmente lutam entre si, ejetando o malware um do outro dos servidores de destino.

Outros grupos incluem Outlaw, que visa consistentemente dispositivos IoT e servidores Linux, usando ataques SSH de força bruta. Um rival, o TeamTNT, desenvolveu sua tática rapidamente explorando serviços de software, roubando credenciais da AWS e implantando root kits. Esta gangue agora parece inativa.

Um ataque de criptomineração é um sinal de segurança cibernética ruim que pode tornar a vítima aberta a mais ataques, alertou a Trend Micro. A maioria dos ataques explora software desatualizado. Os usuários da nuvem devem garantir que seus sistemas estejam atualizados e executando apenas os serviços necessários, disse.

O relatório também identificou a segurança da API como um problema, alertando os clientes da nuvem para não exporem APIs de produtos como Docker e Kubernetes à Internet. Mantenha-os acessíveis apenas aos administradores, acrescentou.

Outras medidas de mitigação incluem a definição de limites para métricas como atividade da CPU e listas de permissões para conexões externas.

Grandes provedores de nuvem reconheceram o problema da criptomineração. No mês passado, o Google adicionou proteção de criptomineração aos seus serviços de nuvem após infecções generalizadas.