Trend-Micro-Studie
12.04.2022, 08:53 Uhr
Kryptominer missbrauchen Cloud-Infrastrukturen
Cloud-Infrastrukturen werden immer häufiger von Cyberkriminellen zum Schürfen von Kryptowährungen missbraucht. Dies zeigt eine Studie von Trend Micro.
Cyberkriminelle schürfen immer häufiger Kryptowährungen und missbrauchen dabei Cloud-Ressourcen von Unternehmen
(Quelle: Xusenru/Pixabay)
Das Schürfen von Kryptowährungen braucht Rechenleistung, viel Rechenleistung. Und die findet sich bei den Betreibern von Cloud-Infrastrukturen. Kein Wunder also, dass Cyberkriminelle diese vermehrt kompromittieren und für ihre Zwecke missbrauchen.
Zumindest zeigt dies der jüngste Forschungsbericht zum Thema Kryptowährungs-Mining von Trend Micro, der dieser Tage unter dem Titel «A Floating Battleground Navigating the Landscape of Cloud-Based Cryptocurrency Mining» veröffentlicht wurde.
Gezielte Suche nach angreifbaren Instanzen
Konkret legt der Report dar, wie Bedrohungsakteure zunehmend nach angreifbaren Instanzen suchen und diese ausnutzen. Unter anderem setzen sie auf Brute-Forcing von SecureShell-Anmeldeinformationen (SSH), um Cloud-Ressourcen für das Kryptowährungs-Mining zu kompromittieren. Die Opfer weisen gemäss dem Bericht häufig veraltete Cloud-Software in der Cloud-Umgebung, mangelnde Cloud-Sicherheitshygiene oder unzureichende Kenntnisse über den Schutz von Cloud-Diensten auf. Dadurch erleichterten sie es den Angreifern, Zugang zu den Systemen zu erhalten, stellt Trend Micro fest.
Auch der derzeitige Cloud-Boom trägt gemäss Report das seine zur Verschärfung der Lage bei: So führt die einfache Bereitstellung von neuen Systemen dazu, dass viele Cloud-Anwendungen länger als nötig online sind – häufig ungepatcht und fehlkonfiguriert.
Mehrere negative Folgen
Das bösartige Kryptomining hat demzufolge verschiedene negative Folgen für betroffene Unternehmen: Zum einen droht der zusätzliche Computing-Workload wichtige Cloud-Dienste zu verlangsamen. Zum anderen steigen die Betriebskosten für jedes infizierte System um bis zu 600 Prozent.
Darüber hinaus könne Kryptomining ein Vorbote für eine noch gravierendere Kompromittierung sein, schreibt Trend Micro. Viele professionelle Bedrohungsakteure setzen nämlich Mining-Software ein, um zusätzliche Einnahmen zu generieren, bevor Online-Käufer den Zugang zu Ransomware, gestohlenen Daten und mehr von ihnen erwerben.
Hackergruppen kämpfen um Ressourcen
«Schon wenige Minuten der Kompromittierung können den Angreifern Gewinne einbringen», berichtet Richard Werner, Business Consultant bei Trend Micro. «Deshalb beobachten wir einen kontinuierlichen Kampf um Cloud-CPU-Ressourcen. Es ist wie ein reales ‚Capture-the-Flag‘-Spiel, wobei die Cloud-Infrastruktur des betroffenen Unternehmens das Spielfeld ist», fügt er an.
Tatsächlich scheinen die Hackergruppen sich regelrecht um die Cloud-Ressourcen zu balgen. Dies zeigen auch die Beschreibungen der einzelnen Kryptomining-Bedrohungsgruppen, deren Aktivitäten die Forscher von Trend Micro in ihrem Bericht detailliert offenlegen.
Folgende Gruppen und ihre Vorgehensweisen werden dabei hervorgehoben:
- «Outlaw» kompromittiert Internet-of-Things (IoT)-Geräte und Linux-Cloud-Server, indem sie bekannte Schwachstellen ausnutzt oder Brute-Force-Angriffe auf SSH durchführt.
- «TeamTNT» nutzt verwundbare Software, um Hosts zu kompromittieren. Anschliessend stiehlt die Gruppe Anmeldeinformationen für weitere Dienste, um so auf neue Hosts zuzugreifen und deren fehlkonfigurierte Services zu missbrauchen.
- «Kinsing» installiert ein XMRig-Kit für das Mining von Monero und entfernt dabei alle weiteren Miner von dem betroffenen System.
- «8220» kämpft mit Kinsing um dieselben Ressourcen. Häufig vertreiben sie sich gegenseitig von einem Host und installieren anschliessend ihre eigenen Kryptowährungs-Miner.«Kek Security» wird mit IoT-Malware und der Ausführung von Botnet-Diensten assoziiert.