Güvenlik araştırmacıları, bulut sunucularına bulaşan kripto madencilerinin finansal etkisinin, kaçırılan cihazlarda her 1 dolarlık kripto para birimi tehdit aktörü madeni için kurbanlara yaklaşık 53 dolara mal olduğunu tahmin ediyor.
Bu aktivite genellikle, özellikle finansal olarak motive edilmiş belirli bilgisayar korsanlığı gruplarına atfedilir. TakımTNTsavunmasız Docker Hub’larına, AWS, Redis ve Kubernetes dağıtımlarına karşı büyük ölçekli saldırılar gerçekleştiren.
Tehdit aktörleri, bir madenci olan XMRig içeren değiştirilmiş işletim sistemi görüntülerini yükler. Monero (XMR), gizlilik odaklı, izlenmesi zor bir kripto para birimi ve şu anda en karlı CPU tabanlı madencilik.
Madencilik programları, saldırıya uğramış cihazın CPU’larını kullanır, bu nedenle tehdit aktörü, donanımı ele geçirerek gelir elde eder.
Fidye yazılımlarla karşılaştırıldığında, hileli kripto madenciliği, saldırgan için daha düşük riskli bir faaliyettir ve kolluk kuvvetlerinin dikkatini çekme olasılığı çok daha düşüktür.
Hasar tahmini
Sysdig’deki araştırmacılar, TeamTNT’nin 10.000’den fazla uç noktayı tehlikeye atan en büyük kampanyalarından biri olan “Chimaera”yı inceleyerek kripto madencilerinin mali zararını tahmin ettiler.
Tehdit aktörleri, güvenliği ihlal edilen makinelerden cüzdan adreslerini gizlemek ve izlemeyi daha da zorlaştırmak için XMRig-Proxy’yi kullandı, ancak analistler kampanyada kullanılan 10 cüzdan kimliği örneğini kurtardı.
Toplu olarak, bu on cüzdan, 8.120 dolara eşdeğer bir değere sahip toplam 39 XMR’ye sahipti. Ancak Sysdig, bu 39 XMR madenciliğinin kurbana maliyetinin 429.000 $ (1 XMR başına 11.000 $) olduğu tahmin ediliyor.
“Daha iyi sağlanan bulut sunucuları (c6a.8xl gibi) madeni parayı daha hızlı çıkarır, ancak saat başına maliyet, vCPU miktarıyla kabaca doğrusal olarak ölçeklenir,” ayrıntılar Sysdig raporda.
“Ek RAM veya depolama eklemek gibi bir EC2 bulut sunucusunun maliyetini artırmak için birçok olası yapılandırma vardır, ancak test edilen birçok farklı yapılandırmada ortalama maliyet 11.000 ABD dolarıdır.”
Mali hasar tahmini, bilinmeyen eski cüzdanlardaki miktarları, sunucu sahibini etkileyen donanım hasarını, işlem gücünün azalmasından kaynaklanan potansiyel çevrimiçi hizmet kesintilerini ve bunun sonucunda ortaya çıkan iş kesintilerini veya firmaların aşırı bulut faturalarını sürdürmek için yapmak zorunda oldukları stratejik değişiklikleri dikkate almaz.
Sysdig’in raporunda sunulan rakamlar, bulut örneklerini güncel tutarak ve yapılandırmalarının güvenli olmasını sağlayarak kripto madenciliği tehditlerine karşı savunmanın öneminin altını çiziyor.
Bu ayın başlarında, AquaSec tarafından yayınlanan bir raporda potansiyel bir tehlike hakkında uyarıda bulunuldu. TeamTNT ribaund Docker sunucularını kripto madencilerle hedef alan bilinen, yenilenmiş ve yeni saldırı yollarının bir karışımını kullanarak yüksek hacimli operasyonlara dönüştürün.