Trend Micro warnt vor Kryptomining-Angriffen auf Cloud-Infrastrukturen

Neue Studie beleuchtet wachsende Angriffsfläche für CPU-Mining.

Wallisellen, 29. März 2022 – Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, veröffentlicht einen neuen Forschungsbericht zum Thema Kryptowährungs-Mining. Der Report legt dar, wie Cyberkriminelle die Cloud-Infrastrukturen von Unternehmen kompromittieren und für ihre Zwecke missbrauchen. Immer wieder kämpfen dabei sogar verschiedene Gruppen um die Kontrolle über betroffene Systeme.

Der Bericht zeigt, dass Bedrohungsakteure zunehmend nach angreifbaren Instanzen suchen und diese ausnutzen. Unter anderem setzen sie auf Brute-Forcing von SecureShell (SSH)-Anmeldeinformationen, um Cloud-Ressourcen für das Kryptowährungs-Mining zu kompromittieren. Die Opfer weisen häufig veraltete Cloud-Software in der Cloud-Umgebung, mangelnde Cloud-Sicherheitshygiene oder unzureichende Kenntnisse über den Schutz von Cloud-Diensten auf. Dadurch erleichtern sie es den Angreifern, Zugang zu den Systemen zu erhalten.

Während der Pandemie sind die Investitionen in Cloud Computing rasant gestiegen. Dabei führt die einfache Bereitstellung der neuen Systeme dazu, dass viele Cloud-Anwendungen länger als nötig online sind – häufig ungepatcht und fehlkonfiguriert.

Das bösartige Kryptomining hat verschiedene negative Folgen für betroffene Unternehmen: Zum einen droht der zusätzliche Computing-Workload wichtige Cloud-Dienste zu verlangsamen. Zum anderen steigen die Betriebskosten für jedes infizierte System um bis zu 600 Prozent. Darüber hinaus kann Kryptomining ein Vorbote für eine noch gravierendere Kompromittierung sein. Viele professionelle Bedrohungsakteure setzen Mining-Software ein, um zusätzliche Einnahmen zu generieren, bevor Online-Käufer den Zugang zu Ransomware, gestohlenen Daten und mehr von ihnen erwerben.

„Schon wenige Minuten der Kompromittierung können den Angreifern Gewinne einbringen. Deshalb beobachten wir einen kontinuierlichen Kampf um Cloud-CPU-Ressourcen. Es ist wie ein reales ‚Capture-the-Flag‘-Spiel, wobei die Cloud-Infrastruktur des betroffenen Unternehmens das Spielfeld ist“, erklärt Richard Werner, Business Consultant bei Trend Micro. „Solche Bedrohungen erfordern eine einheitliche, plattformbasierte Sicherheit, um zu gewährleisten, dass sich die Angreifer nicht verstecken können. Die richtige Plattform unterstützt IT-Teams dabei, ihre Angriffsfläche zu überblicken, das Risiko einzuschätzen und den richtigen Schutz zu wählen, ohne dabei einen hohen Mehraufwand zu generieren.“

Die Forscher von Trend Micro legen die Aktivitäten mehrerer Kryptomining-Bedrohungsgruppen detailliert offen – darunter folgende Gruppen und ihre Vorgehensweisen:

• Outlaw kompromittiert Internet-of-Things (IoT)-Geräte und Linux-Cloud-Server, indem sie bekannte Schwachstellen ausnutzt oder Brute-Force-Angriffe auf SSH durchführt.
• TeamTNT (1) nutzt verwundbare Software, um Hosts zu kompromittieren. Anschliessend stiehlt die Gruppe Anmeldeinformationen für weitere Dienste, um so auf neue Hosts zuzugreifen und deren fehlkonfigurierte Services zu missbrauchen.
• Kinsing installiert ein XMRig-Kit für das Mining von Monero und entfernt dabei alle weiteren Miner von dem betroffenen System.
• 8220 kämpft mit Kinsing um dieselben Systeme. Häufig vertreiben sie sich gegenseitig von einem Host und installieren anschliessend ihre eigenen Kryptowährungs-Miner.
• Kek Security wird mit IoT-Malware und der Ausführung von Botnet-Diensten assoziiert.

Um die Bedrohung durch Kryptowährungs-Mining-Angriffe in der Cloud einzudämmen, empfiehlt Trend Micro folgende Sicherheitsmassnahmen für Unternehmen:

• Stellen Sie sicher, dass die Systeme auf dem neuesten Stand sind und nur die erforderlichen Dienste ausgeführt werden.
• Setzen Sie Firewalls, Intrusion-Detection-Systeme (IDS)/ Intrusion-Prevention-Systeme (IPS) und Cloud Endpoint Security zur Begrenzung und Filterung des Netzwerkverkehrs für bekannte schädliche Hosts ein.
• Vermeiden Sie Konfigurationsfehler mit Hilfe von Cloud-Security-Posture-Management-Tools.
• Überwachen Sie den Datenverkehr zu und von Cloud-Instanzen und filtern Sie Domänen heraus, die mit bekannten Mining-Pools verbunden sind.
• Führen Sie kostenorientierte Regeln zur Überwachung offener Ports, Änderungen am Domain-Name-System (DNS)-Routing und der Auslastung der CPU-Ressourcen ein.

Weitere Informationen

Den vollständigen Bericht A Floating Battleground Navigating the Landscape of Cloud-Based Cryptocurrency Mining finden Sie in englischer Sprache hier: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/probing-the-activities-of-cloud-based-cryptocurrency-mining-groups

Fussnoten

(1) TeamTNT löste sich nach eigener Angabe im November des vergangenen Jahres offiziell auf. Es ist anzunehmen, dass hinter der Gruppe deutsche oder deutschsprachige Akteure standen.

Über Trend Micro

Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheit, hilft dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Basierend auf jahrzehntelanger Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen schützt unsere Cybersecurity-Plattform hunderttausende Unternehmen und Millionen von Menschen über Clouds, Netzwerke, Geräte und Endpunkte hinweg.

Mit 7.000 Mitarbeitern in 65 Ländern und der weltweit fortschrittlichsten Erforschung und Auswertung globaler Cyberbedrohungen ermöglicht Trend Micro Unternehmen, ihre vernetzte Welt zu vereinfachen und zu schützen. https://www.trendmicro.com/de_de/business.html