Pesquisadores de segurança cibernética identificaram uma campanha persistente e ambiciosa que tem como alvo milhares de servidores Docker e visam minerar Bitcoin (BTC).
Em um relatório publicado em 3 de abril, o Aqua Security emitiu um alerta de ameaça sobre o ataque, que "aparentemente ocorre há meses, com milhares de tentativas ocorrendo quase diariamente". Os pesquisadores alertam:
"Esses são os números mais altos que já vimos em algum tempo, excedendo em muito o que testemunhamos até o momento".
Tal escopo e ambição indicam que é improvável que a campanha ilícita de mineração de Bitcoin seja "um empreendimento improvisado", pois os atores por trás dela devem contar com recursos e infraestrutura significativos.
Volumes de ataque de malware, dezembro de 2019 a março de 2020.: Aqua Security blog
Usando suas ferramentas de análise de vírus, a Aqua Security identificou o malware como um agente Linux baseado em Golang, conhecido como Kinsing. O malware se propaga explorando configurações incorretas nas portas API do Docker. Ele executa um contêiner Ubuntu, que baixa o Kinsing e tenta espalhar o malware para outros contêineres e hosts.
O objetivo final da campanha é implantar um minerador de criptomoeda no host comprometido, dizem os pesquisadores.
Infográfico mostrando o fluxo total de um ataque Kinsing. Fonte: Aqua Security blog
As equipes de segurança precisam melhorar o jogo, diz Aqua
O estudo da Aqua fornece informações detalhadas sobre os componentes do malware, que se destaca como um exemplo forte do que a empresa afirma ser "a crescente ameaça aos ambientes nativos da nuvem".
Os atacantes estão aumentando seu jogo para montar ataques cada vez mais sofisticados e ambiciosos, observam os pesquisadores. Em resposta, as equipes de segurança corporativa precisam desenvolver uma estratégia mais robusta para mitigar esses novos riscos.
Entre suas recomendações, a Aqua propõe que as equipes identifiquem todos os recursos da nuvem e os agrupem em uma estrutura lógica, revejam suas políticas de autorização e autenticação e ajustem as políticas básicas de segurança de acordo com um princípio de "menor privilégio".
As equipes também devem investigar logs para localizar ações do usuário registradas como anomalias, além de implementar ferramentas de segurança na nuvem para fortalecer sua estratégia.
Consciência crescente
No mês passado, a Acronis, startup unicórnio de Singapura, publicou os resultados de sua mais recente pesquisa de segurança cibernética. Ela revelou que 86% dos profissionais de TI estão preocupados com o criptojacking - o termo da indústria para a prática de usar o poder de processamento de um computador para explorar criptomoedas sem o consentimento ou conhecimento do proprietário.