Mineração de criptomoedas é “disfarce” para ataque com roubo de dados

Uma operação cibercriminosa arrojada utiliza mineradores de criptomoedas para chamar a atenção dos times de resposta em segurança, enquanto ferramentas de roubo de credenciais atuam despercebidas. O foco das ações são servidores e aplicativos web expostos ao público, usados como porta de entrada para os serviços de cloud computing nos quais rodam.

A campanha foi descoberta pelos especialistas em segurança da Sysdig e foi batizada de Scarleteel. Segundo os pesquisadores, os responsáveis mostram conhecimento profundo das ferramentas de Kubernetes e dos sistemas do Amazon Web Services, bem como das rotinas de profissionais de segurança da informação, entregando iscas fáceis de serem detectadas enquanto o ataque de verdade acontece em segundo plano.

Ao invadirem um contêiner, o minerador XMRig, da criptomoeda Monero, começa a rodar. Ao mesmo tempo, os criminosos executam remotamente um script para furtar as credenciais de contas que, mais tarde, são usadas em chamados de API para obtenção de mais senhas de acesso e criação de backdoors nos sistemas de nuvem contaminados, também com capacidade de movimentação lateral. Então, vem o objetivo final do golpe, que parece ser o roubo de códigos-fonte, chaves de criptografia de serviços e propriedades intelectuais.

Tais elementos colocam as empresas como os principais alvos dos ataques, de acordo com a Sysdig, enquanto há também o estabelecimento de permanência para uma possível venda do acesso a terceiros. Estes, entretanto, são danos colaterais, já que o objetivo real está na obtenção de documentos e sistemas internos, assim como na ocultação de rastros dessa atividade.

A campanha foi descoberta depois que os pesquisadores analisaram um ataque específico, no qual 1 TB de informação foi obtido pelos bandidos. O volume incluía detalhes da infraestrutura conectada, documentos internos, scripts usados pelos consumidores e até arquivos de registro de erros, bem como movimentação lateral para comprometer mais e mais servidores AWS.

Para a Sysdig, o nível de sofisticação do ataque mostra que os criminosos estão se especializando em sistemas específicos, capazes de gerar golpes de grande poder destrutivo e alto valor econômico. Grandes corporações parecem ser o principal alvo, enquanto basta um ponto de vulnerabilidade para que a escalada da campanha aconteça, assim como a permanência em um sistema comprometido.

Atualizações de software e o uso de protocolos de privilégios bem-configurados para os usuários, assim como criptografia avançada e confiança zero estão entre as medidas indicadas para configuração segura de ambientes de cloud computing. Além disso, os especialistas sugerem o uso de sistemas de monitoramento de chaves de acesso e reciclagem de contas antigas, bem como plataformas de inteligência de ameaças e alertas sobre atividades suspeitas.

Indicadores de comprometimento e outros detalhes técnicos sobre a ameaça representada pelo Scarleteel foram publicados pela Sysdig como parte do alerta. A empresa, também, chama a atenção para o fato de esta ser uma campanha de ataques em andamento e com eficácia comprovada, aumentando a necessidade de proteção adequada para servidores e aplicações na nuvem.

FONTE: https://canaltech.com.br/seguranca/mineracao-de-criptomoedas-e-disfarce-para-ataque-com-roubo-de-dados-241644/