Um novo malware foi descoberto e tem como alvo bancos de dados para instalar software de mineração de criptomoedas. Batizado de PG_MEM, o malware pode potencialmente atingir qualquer um dos mais de 800.000 bancos de dados gerenciados pelo PostgreSQL se eles tiverem senhas fracas.
De acordo com a empresa de segurança cibernética nativa da nuvem, Aqua, o PG_MEM é instalado após um ataque de força bruta encontrar uma senha fraca em um banco de dados gerenciado pelo PostgreSQL. O PostgreSQL é um popular sistema de gerenciamento de banco de dados relacional de objetos utilizado por bancos de dados com conectividade à internet. Existem bem mais de 800.000 desses bancos de dados, com quase 300.000 localizados nos Estados Unidos e mais de 100.000 na Polônia.
Malware envia poder computacional ocioso para um pool de mineração
Uma vez que o ator da ameaça ganha acesso a um banco de dados, ele cria um novo usuário com capacidade de login e privilégios elevados. Ele baixa dois arquivos do servidor do ator da ameaça e até consegue cobrir seus rastros e bloquear a entrada de outros atores da ameaça ansiosos para explorar a capacidade computacional do banco de dados. Isso pode estar acontecendo com frequência:
“Essa campanha está explorando bancos de dados PostgreSQL expostos à internet com senhas fracas. Muitas organizações conectam seus bancos de dados à internet, uma senha fraca é o resultado de uma configuração incorreta e falta de controles de identidade adequados. Este não é um problema raro, e muitas grandes organizações sofrem com esses problemas.”
O malware, uma vez operacional, conecta-se a um pool de mineração e utiliza os recursos computacionais do host, combinados com os de outros mineradores, para aumentar as chances de minerar um novo bloco.
Um problema crescente — ou solução
O uso de malware para minerar criptomoedas é conhecido como cryptojacking. Malware de cryptojacking também pode ser instalado em computadores pessoais. Isso está se tornando cada vez mais frequente. O Cointelegraph observou que os ataques de malware de cripto aumentaram 400% ano a ano na primeira metade de 2023.
Capacidades ociosas podem ser aproveitadas por usuários legítimos de hardware para mineração ou outros usos. Por exemplo, o provedor de infraestrutura em nuvem descentralizada Aethir opera uma rede de infraestrutura física descentralizada (DePIN) de GPU como serviço que obtém poder computacional de data centers de nível 3 e 4 para fornecer serviço de computação escalável e econômico aos seus clientes.