Les criminels du cryptominage se concentrent sur le cloud

Le cryptominage basé sur le cloud est devenu une forme dynamique de cybercriminalité, et divers groupes d'attaquants se battent pour accéder aux comptes cloud.

Les groupes de cryptominage piratent les comptes de cloud computing des victimes, en utilisant leur puissance de calcul pour exploiter la crypto-monnaie, a expliqué Trend Micro dans son dernier rapport. L'étude, intitulée "A Floating Battleground :Navigating the Landscape of Cloud-Based Cryptocurrency Mining", a averti que les victimes risquaient de perdre plus que le coût des factures de cloud computing plus élevées.

Les attaques de cryptominage utilisent soit des ressources GPU cloud, qui offrent de meilleures performances de minage, soit compromettent les processeurs à grande échelle, selon le rapport. Ce dernier nécessite de compromettre autant d'instances dans un compte cloud que possible pour exploiter autant de monnaie numérique que possible.

Trend Micro a exécuté XMRig, qui exploite la crypto-monnaie Monero, sur sa propre instance cloud et a vu l'utilisation du processeur passer de 13 % à 100 %. Cela augmenterait les coûts d'électricité de 20 $ à 130 $ par mois, et l'exécuter sur plusieurs instances augmenterait considérablement les factures liées au cloud.

Alors que certains groupes d'attaquants utilisent le cryptominage comme principale source de revenus, d'autres se concentrent sur la vente d'accès à des comptes cloud et n'exploitent que lorsqu'ils attendent un acheteur. Les groupes se battent souvent pour les ressources cloud, en utilisant des scripts de destruction pour éliminer les logiciels malveillants des autres.

Le rapport détaille plusieurs groupes de cryptominage actifs. Le plus actif en août 2021 s'appelait 8220. Trend Micro a détecté un pic de 2 000 balises sur ses serveurs en juillet de l'année dernière, tombant à un peu plus de 1 000 le mois suivant.

8220 avaient pris la première place à Kinseng, un autre groupe qui était tombé à environ 500 balises par mois en août contre 2 000 en janvier. Ces deux groupes se combattent souvent, éjectant les logiciels malveillants de l'autre des serveurs cibles.

D'autres groupes incluent Outlaw, qui cible systématiquement les appareils IoT et les serveurs Linux, en utilisant des attaques SSH par force brute. Un rival, TeamTNT, a rapidement fait évoluer sa tactique en exploitant les services logiciels, en volant les identifiants AWS et en déployant des root kits. Ce gang semble désormais inactif.

Une attaque de cryptominage est un signe de mauvaise cybersécurité qui pourrait rendre la victime vulnérable à davantage d'attaques, a averti Trend Micro. La plupart des attaques exploitent des logiciels obsolètes. Les utilisateurs du cloud doivent s'assurer que leurs systèmes sont à jour et n'exécutent que les services requis, a-t-il déclaré.

Le rapport a également identifié la sécurité des API comme un problème, avertissant les clients du cloud de ne pas exposer les API de produits tels que Docker et Kubernetes sur Internet. Gardez-les accessibles uniquement aux administrateurs, a-t-il ajouté.

D'autres mesures d'atténuation incluent la définition de seuils pour des métriques telles que l'activité du processeur et des listes d'autorisation pour les connexions externes.

Les grands fournisseurs de cloud ont reconnu le problème du cryptomining. Le mois dernier, Google a ajouté une protection contre le cryptominage à ses services cloud après des infections généralisées.