El gusano de la criptominería roba las credenciales de AWS



Imagen: Cado Security Los investigadores de seguridad han descubierto lo que parece ser la primera operación de malware de minería criptográfica que contiene funciones para robar las credenciales de AWS de los servidores infectados. Esta nueva función de robo de datos se detectó en el malware utilizado por TeamTNT, un grupo de ciberdelincuencia que tiene como objetivo las instalaciones de Docker. El grupo ha estado activo desde al menos abril, según una investigación publicada a principios de este año por la firma de seguridad Trend Micro.
Según el informe, TeamTNT opera escaneando Internet en busca de sistemas Docker que se hayan configurado mal y hayan dejado su API de administración expuesta en Internet sin una contraseña. El grupo accedería a la API e implementaría servidores dentro de la instalación de Docker que ejecutarían DDoS y malware de minería criptográfica. Sus tácticas no son tan únicas como las de otros grupos de delitos informáticos que utilizan el mismo manual de estrategias.
Pero en un nuevo informe publicado el 17 de agosto, la firma de seguridad británica Cado Security dice que la banda TeamTNT ha actualizado recientemente su modo de operación. Los investigadores de Cado dicen que, además de la funcionalidad original, TeamTNT ahora también ha ampliado sus ataques para atacar las instalaciones de Kubernetes.
Pero si bien expandir su base de objetivos es generalmente bastante importante, los investigadores de Cado dijeron que hay una actualización aún mayor, a saber, una nueva función que escanea los servidores infectados subyacentes en busca de credenciales de Amazon Web Services (AWS). Si los sistemas Docker y Kubernetes infectados se ejecutan sobre la infraestructura de AWS, la banda TeamTNT busca ~ / .aws / credentials y ~ /.
aws / config, y copia y carga ambos archivos en su servidor de comando y control. . Imagen: Cado Security Ambos archivos no están encriptados y contienen credenciales de texto sin formato y detalles de configuración para la cuenta e infraestructura subyacentes de AWS. Los investigadores de Cado creen que el atacante aún no se ha movido para usar ninguna de las credenciales robadas.
Dijeron que enviaron una colección de credenciales canarias al servidor TeamTNT C&C, pero no se ha accedido a ninguna de esas cuentas antes del 17 de agosto, cuando publicaron su investigación. Sin embargo, cuando los atacantes deciden hacerlo, TeamTNT aumentará seriamente sus ganancias, ya sea instalando malware de minería criptográfica en clústeres AWS EC2 más potentes directamente o vendiendo las credenciales robadas en el mercado negro.
En este momento, Cado solo tiene una visión limitada de la operación de TeamTNT, ya que la empresa de seguridad ha podido rastrear solo algunas de las direcciones de billetera Monero que el grupo usa para recolectar fondos extraídos. Si bien en este momento TeamTNT parece haber ganado solo alrededor de $ 300, la realidad es que ganó muchas, muchas veces más, ya que las redes de bots de minería criptográfica generalmente emplean miles de direcciones de billetera diferentes, para dificultar el seguimiento o la incautación de fondos. pags VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı