A atividade de criptomineração pode ser um sinal de que seus servidores estão sob ataque
Os servidores locais e baseados na nuvem das organizações são comprometidos, abusados e alugados como parte de um sofisticado ciclo de vida de monetização criminosa, concluiu a pesquisa da Trend Micro.
As descobertas vêm de um relatório que analisa como funciona o mercado de hospedagem clandestina. Os resultados mostram que a atividade de mineração de criptomoedas deve ser o indicador para as equipes de segurança de TI estarem em alerta máximo.
Atividade de criptominação usada para monetizar servidores comprometidos
Embora a atividade de criptomineração possa não causar interrupções ou perdas financeiras por si só, o software de mineração é geralmente implantado para monetizar servidores comprometidos que estão ociosos enquanto os criminosos planejam esquemas maiores de geração de dinheiro. Isso inclui a extração de dados valiosos, a venda de acesso ao servidor para abuso adicional ou a preparação para um ataque de ransomware direcionado .
Quaisquer servidores que contenham criptominadores devem ser sinalizados para correção e investigação imediatas.
“De hospedagem à prova de balas dedicada a serviços de anonimato, fornecimento de nome de domínio e ativos legítimos comprometidos, o submundo do crime cibernético oferece uma gama sofisticada de ofertas de infraestrutura para apoiar campanhas de monetização de todos os tipos”, disse Bob McArdle, diretor de pesquisa de ameaças futuras da Trend Micro .
“Nosso objetivo é aumentar a conscientização e a compreensão da infraestrutura do cibercriminoso para ajudar as agências de aplicação da lei, clientes e outros pesquisadores a bloquear os caminhos para o cibercrime e aumentar os custos para os agentes da ameaça.”
Servidores em nuvem particularmente expostos
Os servidores em nuvem estão particularmente expostos ao comprometimento e uso na infraestrutura de hospedagem subterrânea, pois podem não ter a proteção de seus equivalentes locais.
McArdle continuou, “Ativos corporativos legítimos comprometidos podem ser infiltrados e abusados, seja no local ou na nuvem. Uma boa regra prática é que tudo o que está mais exposto tem maior probabilidade de ser explorado. ”
Os cibercriminosos podem tentar explorar vulnerabilidades em software de servidor, usar ataques de força bruta para comprometer credenciais ou roubar logins e implantar malware por meio de ataques de phishing. Eles podem até ter como alvo software de gerenciamento de infraestrutura (chaves de API em nuvem), o que lhes permite criar novas instâncias de máquinas virtuais ou fornecer recursos.
Uma vez comprometidos, esses ativos de servidor em nuvem podem ser vendidos em fóruns clandestinos, mercados dedicados e até mesmo redes sociais para uso em uma variedade de ataques.