Los delincuentes de criptominería se están enfocando en la nube

La criptominería basada en la nube se ha convertido en una forma vibrante de ciberdelincuencia, y una variedad de grupos de ataque luchan entre sí por el acceso a las cuentas en la nube.

Los grupos de criptominería piratean las cuentas de computación en la nube de las víctimas, utilizando su poder de cómputo para extraer criptomonedas, explicó Trend Micro en su último informe. La investigación, llamada 'Un campo de batalla flotante:navegando por el panorama de la minería de criptomonedas basada en la nube', advirtió que las víctimas pueden perder más que el costo de las facturas más altas de la computación en la nube.

Los ataques de criptominería utilizan recursos de GPU en la nube, que ofrecen un mejor rendimiento de minería, o comprometen las CPU a escala, según el informe. Este último requiere comprometer tantas instancias en una cuenta en la nube como sea posible para extraer la mayor cantidad de moneda digital posible.

Trend Micro ejecutó XMRig, que extrae la criptomoneda Monero, en su propia instancia en la nube y vio cómo el uso de la CPU saltaba del 13 % al 100 %. Eso aumentaría los costos de electricidad de $20 a $130 por mes, y ejecutarlo en varias instancias aumentaría considerablemente las facturas de la nube.

Mientras que algunos grupos de ataque utilizan la criptominería como su principal fuente de ingresos, otros se enfocan en vender para acceder a cuentas en la nube y solo minar mientras esperan a un comprador. Los grupos a menudo lucharán entre sí por los recursos de la nube, utilizando scripts de eliminación para eliminar el malware de los demás.

El informe detalla varios grupos criptomineros activos. El más activo en agosto de 2021 se llamó 8220. Trend Micro detectó un pico de 2000 balizas en sus servidores en julio del año pasado, cayendo a poco más de 1000 el próximo mes.

8220 había tomado el primer lugar de Kinseng, otro grupo que había caído a alrededor de 500 balizas por mes en agosto de 2000 en enero. Estos dos grupos a menudo luchan entre sí, expulsando el malware de los demás de los servidores de destino.

Otros grupos incluyen Outlaw, que apunta constantemente a dispositivos IoT y servidores Linux, utilizando ataques SSH de fuerza bruta. Un rival, TeamTNT, ha desarrollado su táctica rápidamente explotando servicios de software, robando credenciales de AWS e implementando rootkits. Esta pandilla ahora parece inactiva.

Un ataque de criptominería es una señal de una seguridad cibernética deficiente que podría dejar a la víctima expuesta a más ataques, advirtió Trend Micro. La mayoría de los ataques explotan software obsoleto. Los usuarios de la nube deben asegurarse de que sus sistemas estén actualizados y solo ejecuten los servicios necesarios, dijo.

El informe también identificó la seguridad de las API como un problema y advirtió a los clientes de la nube que no expongan las API de productos como Docker y Kubernetes a Internet. Manténgalos accesibles solo para administradores, agregó.

Otras medidas paliativas incluyen establecer umbrales para métricas como la actividad de la CPU y listas permitidas para conexiones externas.

Los grandes proveedores de la nube han reconocido el problema de la criptominería. El mes pasado, Google agregó protección contra criptominería a sus servicios en la nube después de infecciones generalizadas.