Trend Micron uudessa raportissa paljastetaan kryptovaluuttaa louhivien kyberrikollisten käyvän rajua keskinäistä taistelua.
– Jo muutaman tunnin mittainen onnistunut tunkeutuminen asiakkaan järjestelmään voi olla hyökkääjille tuottoisa isku, minkä johdosta näemme parhaillaan jatkuvaa taistelua pilven laskentatehoksi, kertoo Kalle Salminen, Trend Micron kyberturva-asiantuntija. Tämän kaltaisilta uhkilta suojautuminen vaatii pilveen yhdistettyä tietoturva-alustaa, jotta järjestelmissä ei ole piilopaikkoja pahiksille. Oikein valittu alusta auttaa tietoturvatiimejä kartoittamaan hyökkäyspintansa, arvioimaan riskit ja käyttämään oikeaa suojausta pilvessä.
Hyökkääjät etsivät ja hyödyntävät kasvavassa määrin alttiita järjestelmiä ja käyttävät väsytyshyökkäys-tekniikkaa muun muassa SecureShell (SSH) -salasanojen murtamiseen. Pilvijärjestelmään tunkeutumisen onnistuessa se valjastetaan kryptovaluutan louhintaan. Tyypillisesti hyökkäysten kohteeksi joutuneissa palveluissa on käytössä vanhentunut pilviohjelmisto, heikko pilvitietoturva tai riittämätön ymmärrys pilvipalvelujen suojaamisesta. Niinpä niihin on helppo tunkeutua ja valjastaa kohde rikollisiin tarkoituksiin.
Investoinnit pilvilaskentaan ovat lisääntyneet merkittävästi pandemian aikana. Niiden käyttöönoton helppous on kuitenkin jättänyt monet pilvi-instanssit verkkoon tarpeettoman pitkäksi aikaa – kaiken lisäksi päivittämättöminä ja virheellisesti konfiguroituina.
Luvattoman louhinnan aiheuttama ylimääräinen työkuorma hidastaa uhreiksi joutuneiden organisaatioiden palveluja asiakkaille, samalla kun se nostaa jokaisen saastuneen järjestelmän käyttökustannuksia jopa 600 prosentilla.
Kryptovaluutan louhinta voi silti olla vasta esiaste paljon vaarallisemmalle hyökkäykselle. Kehittyneemmät kyberrikolliset asentavat murtamiinsa palveluihin ensin kryptovaluuttaa louhivia haittaohjelmia. Näillä testataan järjestelmän tietoturvaa ja kerätään sivutuloja ennen kuin palvelu valjastetaan maksavien asiakkaiden tarpeisiin. Tällöin kohdejärjestelmää saatetaan hyödyntää kiristyshaittaohjelmahyökkäyksiin, tietovarkauksiin ja muuhun verkkorikollisuuteen.
Trend Micron raportissa kerrotaan verkkorikollisten ja näiden käyttämistä välineistä, kuten:
Outlaw tunkeutuu esineiden internetiin (IoT) liitettyihin laitteisiin ja Linux-pilvipalvelimiin hyödyntämällä tunnettuja haavoittuvuuksia tai väsytyshyökkäyksiä.
TeamTNT tunkeutuu palveluihin haavoittuvien ohjelmistojen kautta. Onnistuneen tunkeutumisen jälkeen se varastaa muiden palvelujen tunnistetietoja ja liikkuu lateraalisesti järjestelmästä toiseen järjestelmä- ja konfigurointivirheitä hyödyntäen.
Kinsing asentaa palveluihin XMRig-kryptovaluuttalouhintaohjelmiston, joka samalla potkii järjestelmästä kilpailevat louhijat.
8220:n on havaittu usein kamppailevan Kingsingin kanssa saman järjestelmän hallinnasta. Samaan järjestelmän tunkeutuessaan ohjelmistot yrittävät omia sen itselleen ja poistaa toinen toisensa, sekä asentaa omat kryptovaluuttoja louhivat haittaohjelmansa.
Kek Securityasentaa haittaohjelmia esineiden internetiin liitettyihin laitteisiin ja ajaa botnet-verkkopalveluja.
Trend Micro suosittelee seuraavia toimintatapoja kryptovaluuttalouhintahyökkäysten estämiseksi:
- Varmistakaa ajantakaiset päivitykset ja että järjestelmissä ajetaan vain tarpeellisia palveluja.
- Käyttäkää palomuurausta, tunkeutumisenestoa (IDS/IPS) ja suojatkaa pilvi-instanssit rajoittaaksenne ja suodattaaksenne liikennettä, joka tulee tunnistetuista hyökkääjien käyttämistä osoitteista.
- Korjatkaa konfigurointivirheet käyttämällä Cloud Security Posture Management -työkaluja.
- Valvokaa pilvi-instanssin verkkoliikennettä ja suodattakaa toimialueet, joiden on havaittu liittyvän pilvilouhintaan.
- Ottakaa käyttöön säännöt, joilla valvotaan avoimia portteja, odottamattomia muutoksia DNS-reitityksiin ja suoritinresurssien käyttöä kustannusnäkökulmaa unohtamatta.
Lähde: Trend Micro