Kryptomining-Angriffe auf Cloud-Infrastrukturen

Während der Pandemie sind die Investitionen in Cloud Computing rasant gestiegen. Dabei führt die einfache Bereitstellung der neuen Systeme dazu, dass viele Cloud-Anwendungen länger als nötig online sind – häufig ungepatcht und fehlkonfiguriert. Ein neuer Forschungsbericht zum Thema Kryptowährungs-Mining von Trend Micro zeigt jetzt, dass Bedrohungsakteure zunehmend nach angreifbaren Instanzen suchen und diese ausnutzen. Unter anderem setzen sie auf Brute-Forcing von SecureShell (SSH)-Anmeldeinformationen, um Cloud-Ressourcen für das Kryptowährungs-Mining zu kompromittieren. Die Opfer weisen häufig veraltete Cloud-Software in der Cloud-Umgebung, mangelnde Cloud-Sicherheitshygiene oder unzureichende Kenntnisse über den Schutz von Cloud-Diensten auf. Dadurch erleichtern sie es den Angreifern, Zugang zu den Systemen zu erhalten.

Vorbote für noch gravierendere Kompromittierung

Das bösartige Kryptomining hat verschiedene negative Folgen für betroffene Unternehmen: Zum einen droht der zusätzliche Computing-Workload wichtige Cloud-Dienste zu verlangsamen. Zum anderen steigen die Betriebskosten für jedes infizierte System um bis zu 600 Prozent. Darüber hinaus kann Kryptomining ein Vorbote für eine noch gravierendere Kompromittierung sein. Viele professionelle Bedrohungsakteure setzen Mining-Software ein, um zusätzliche Einnahmen zu generieren, bevor Online-Käufer den Zugang zu Ransomware, gestohlenen Daten und mehr von ihnen erwerben.

„Schon wenige Minuten der Kompromittierung können den Angreifern Gewinne einbringen. Deshalb beobachten wir einen kontinuierlichen Kampf um Cloud-CPU-Ressourcen. Es ist wie ein reales ‚Capture-the-Flag‘-Spiel, wobei die Cloud-Infrastruktur des betroffenen Unternehmens das Spielfeld ist“, erklärt Richard Werner, Business Consultant bei Trend Micro. „Solche Bedrohungen erfordern eine einheitliche, plattformbasierte Sicherheit, um zu gewährleisten, dass sich die Angreifer nicht verstecken können. Die richtige Plattform unterstützt IT-Teams dabei, ihre Angriffsfläche zu überblicken, das Risiko einzuschätzen und den richtigen Schutz zu wählen, ohne dabei einen hohen Mehraufwand zu generieren.“

Aktivitäten mehrerer Kryptomining-Bedrohungsgruppen

• Outlaw kompromittiert Internet-of-Things (IoT)-Geräte und Linux-Cloud-Server, indem sie bekannte Schwachstellen ausnutzt oder Brute-Force-Angriffe auf SSH durchführt.
• TeamTNT (1) nutzt verwundbare Software, um Hosts zu kompromittieren. Anschließend stiehlt die Gruppe Anmeldeinformationen für weitere Dienste, um so auf neue Hosts zuzugreifen und deren fehlkonfigurierte Services zu missbrauchen.
• Kinsing installiert ein XMRig-Kit für das Mining von Monero und entfernt dabei alle weiteren Miner von dem betroffenen System.
• 8220 kämpft mit Kinsing um dieselben Systeme. Häufig vertreiben sie sich gegenseitig von einem Host und installieren anschließend ihre eigenen Kryptowährungs-Miner.
• Kek Security wird mit IoT-Malware und der Ausführung von Botnet-Diensten assoziiert.

Trend Micro empfiehlt Unternehmen folgende Sicherheitsmaßnahmen

• Stellen Sie sicher, dass die Systeme auf dem neuesten Stand sind und nur die erforderlichen Dienste ausgeführt werden.
• Setzen Sie Firewalls, Intrusion-Detection-Systeme (IDS)/ Intrusion-Prevention-Systeme (IPS) und Cloud Endpoint Security zur Begrenzung und Filterung des Netzwerkverkehrs für bekannte schädliche Hosts ein.
• Vermeiden Sie Konfigurationsfehler mit Hilfe von Cloud-Security-Posture-Management-Tools.
• Überwachen Sie den Datenverkehr zu und von Cloud-Instanzen und filtern Sie Domänen heraus, die mit bekannten Mining-Pools verbunden sind.
• Führen Sie kostenorientierte Regeln zur Überwachung offener Ports, Änderungen am Domain-Name-System (DNS)-Routing und der Auslastung der CPU-Ressourcen ein.