Servidores Docker apuntados por la nueva campaña de malware Kinsing



Imagen: Aqua Durante los últimos meses, una operación de malware ha estado escaneando en Internet servidores Docker que ejecutan puertos API expuestos en Internet sin contraseña. Los piratas informáticos están entrando en hosts desprotegidos e instalando una nueva cepa de malware de cripto-minería llamada Kinsing. Los ataques comenzaron el año pasado y aún continúan, según la firma de seguridad en la nube Aqua Security, que detalló la campaña en una publicación de blog el viernes.
Estos ataques son solo los últimos en una larga lista de campañas de malware que se han dirigido a instancias de Docker, sistemas que, cuando se ven comprometidos, proporcionan a los grupos de hackers acceso ilimitado a vastos recursos computacionales. Según Gal Singer, un investigador de seguridad de Aqua, una vez que los piratas informáticos encuentran una instancia de Docker con un puerto API expuesto, utilizan el acceso proporcionado por este puerto para activar un contenedor de Ubuntu, donde descargan e instalan el malware Kinsing. El objetivo principal del malware es extraer criptomonedas en la instancia de Docker pirateada, pero también viene con funciones secundarias. Estas incluyen ejecutar scripts que eliminan otro malware que se puede ejecutar localmente, pero también recopilan credenciales SSH locales en un intento de propagación a la red de contenedores de una empresa, para infectar otros sistemas en la nube con el mismo malware. Dado que los ataques de malware de Kinsing todavía están en curso, Aqua recomienda que las empresas revisen la configuración de seguridad de sus instancias de Docker y se aseguren de que las API administrativas no estén expuestas en línea. Dichos puntos finales de administración deben estar detrás de un firewall o puerta de enlace VPN, si necesitan exponerse en línea, o deshabilitarse cuando no se usan.
La reciente campaña de malware Kinsing es solo la última de una larga lista de ataques de botnets de cripto-minería que se han dirigido a instancias de Docker. Tales ataques comenzaron por primera vez en la primavera de 2018. Aqua y Sysdig fueron las primeras compañías en detectar ataques contra los sistemas Docker en ese momento.
Otros ataques y malware siguieron después de eso. Trend Micro (octubre de 2018), Juniper Networks (noviembre de 2018), Imperva (marzo de 2019), Trend Micro y Alibaba Cloud (mayo de 2019), Trend Micro nuevamente (junio de 2019) han detallado los informes que detallan otros ataques contra servidores Docker. Palo Alto Networks (octubre de 2019). pag VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı