Kryptomining-Kriminelle konzentrieren sich auf die Cloud

Cloudbasiertes Kryptomining hat sich zu einer lebendigen Form der Cyberkriminalität entwickelt, und eine Vielzahl von Angriffsgruppen kämpfen um den Zugriff auf Cloud-Konten.

Krypto-Mining-Gruppen hacken die Cloud-Computing-Konten der Opfer und nutzen ihre Rechenleistung zum Schürfen von Kryptowährung, erklärte Trend Micro in seinem neuesten Bericht. Die Studie mit dem Titel „A Floating Battleground:Navigating the Landscape of Cloud-Based Cryptocurrency Mining“ warnte davor, dass die Opfer mehr verlieren werden als die Kosten für höhere Cloud-Computing-Rechnungen.

Cryptomining-Angriffe nutzen entweder Cloud-GPU-Ressourcen, die eine bessere Mining-Leistung bieten, oder gefährden CPUs in großem Maßstab, heißt es in dem Bericht. Letzteres erfordert, so viele Instanzen wie möglich in einem Cloud-Konto zu kompromittieren, um so viel digitale Währung wie möglich abzubauen.

Trend Micro führte XMRig, das die Kryptowährung Monero schürft, auf seiner eigenen Cloud-Instanz aus und verzeichnete einen Anstieg der CPU-Auslastung von 13 % auf 100 %. Das würde die Stromkosten von 20 $ auf 130 $ pro Monat erhöhen, und die Ausführung auf mehreren Instanzen würde die Cloud-Rechnungen erheblich in die Höhe treiben.

Während einige Angriffsgruppen Kryptomining als Haupteinnahmequelle nutzen, konzentrieren sich andere auf den Verkauf von Zugriff auf Cloud-Konten und minen nur, während sie auf einen Käufer warten. Gruppen bekämpfen sich oft gegenseitig um Cloud-Ressourcen, indem sie Kill-Scripts verwenden, um die Malware der anderen zu löschen.

Der Bericht beschreibt mehrere aktive Cryptomining-Gruppen. Das aktivste im August 2021 hieß 8220. Trend Micro stellte im Juli letzten Jahres einen Spitzenwert von 2.000 Beacons auf seinen Servern fest, die im nächsten Monat auf knapp über 1.000 zurückgingen.

8220 hatte den Spitzenplatz von Kinseng übernommen, einer anderen Gruppe, die von 2.000 im Januar auf etwa 500 Beacons pro Monat im August gesunken war. Diese beiden Gruppen bekämpfen sich oft gegenseitig und schleudern die Malware der jeweils anderen von den Zielservern aus.

Andere Gruppen sind Outlaw, die IoT-Geräte und Linux-Server konsequent angreifen und Brute-Force-SSH-Angriffe verwenden. Ein Rivale, TeamTNT, hat seine Taktik schnell weiterentwickelt, indem er Softwaredienste ausnutzt, AWS-Anmeldeinformationen stiehlt und Rootkits einsetzt. Diese Bande scheint jetzt inaktiv zu sein.

Ein Kryptomining-Angriff ist ein Zeichen für schlechte Cybersicherheit, die das Opfer für weitere Angriffe anfällig machen könnte, warnte Trend Micro. Die meisten Angriffe nutzen veraltete Software aus. Cloud-Nutzer sollten sicherstellen, dass ihre Systeme auf dem neuesten Stand sind und nur die erforderlichen Dienste ausführen, hieß es.

Der Bericht identifizierte auch die API-Sicherheit als Problem und warnte Cloud-Kunden davor, APIs von Produkten wie Docker und Kubernetes dem Internet zugänglich zu machen. Halten Sie sie nur für Administratoren zugänglich, fügte es hinzu.

Andere risikomindernde Maßnahmen umfassen das Festlegen von Schwellenwerten für Metriken wie CPU-Aktivität und Zulassungslisten für externe Verbindungen.

Große Cloud-Anbieter haben das Kryptomining-Problem erkannt. Letzten Monat fügte Google seinen Cloud-Diensten nach weit verbreiteten Infektionen Schutz vor Kryptomining hinzu.