Mais de 90% de ataques a servidores em nuvem tentam criptomineração, revela estudo

Tencent Security relatou um novo malware de botnet rondando a web – nos últimos meses – para servidores Microsoft SQL. Enquanto isso, um relatório diferente afirma que a maioria dos ataques a servidores em nuvem abusam de recursos de computação em nuvem pública para mineração de criptomoeda.

Fazendo as manchetes

Um grupo de cibercriminosos foi descoberto lançando ataques de força bruta em milhares de servidores MSSQL para implantar um malware de criptomineração denominado MrbMiner em sistemas comprometidos.

  • A carteira usada pela versão MSSQL continha 7 XMR (~ $ 630).
  • De acordo com os pesquisadores, o malware MrbMiner foi desenvolvido para visar servidores Linux e sistemas baseados em ARM também.
  • A análise encontrou 3,38 XMR (~ $ 300) na carteira da versão Linux do malware.

Modo de operação

  • Ao obter acesso ao sistema, os invasores baixam um arquivo assm.exe para estabelecer um mecanismo de persistência de (re) inicialização e criar um backdoor para permitir acesso futuro.
  • Depois de criar uma conta, o código malicioso se conecta ao servidor C2 para baixar um minerador de criptomoeda Monero (XMR) que é executado no servidor local.
  • Os pesquisadores encontraram a credencial da conta backdoor com o nome de usuário Default e a senha @ fg125kjnhn987.

O aumento da intenção de mineração de cibercriminosos

O Relatório de Ameaças Nativas da Nuvem 2020 da Aqua Security revela um padrão crescente, organizado e cada vez mais sofisticado de ataques à infraestrutura nativa da nuvem.

  • A empresa rastreou e analisou 16.371 ataques em servidores honeypot entre junho de 2019 e julho de 2020.
  • Em 95% dos casos, os invasores implantaram uma imagem de contêiner mal-intencionada destinada a minerar criptomoedas.
  • O restante foi usado para configurar a infraestrutura DDoS.
  • De acordo com especialistas, os métodos de intrusão dos adversários se diversificaram e a complexidade do malware mostrou sinais de melhoria.

O takeaway

Recentemente, publicamos uma análise sobre como os hackers são obcecados por criptomoeda e isso só está se intensificando. No entanto, para impedir as ameaças associadas ao MrbMiner, os pesquisadores publicaram os IOCs para esta campanha. Além disso, os administradores de sistema são aconselhados a verificar seus servidores MSSQL quanto à presença de backdoors.

Fonte: https://cyware.com/news/over-90-attacks-on-cloud-servers-attempt-cryptomining-study-reveals-e07bab58