O time de pesquisa de segurança da Tenable destacou em pesquisa recentemente o aumento do Cryptomining ou Criptomineração ilegal – isto é, o processo de mineração de criptomoedas sem o consentimento do proprietário da máquina.
Na pesquisa foi detectado o uso do malware Kinsing para comprometimento de servidores Apache Tomcat com vulnerabilidades críticas. Trata-se de um cryptomining que afeta sistemas voltados para internet escondido em arquivos raramente monitorados para então roubar processamento para obtenção de criptomoedas. O Apache Tomcat é um servidor de código aberto que fornece dados estáticos (como imagens e outros conteúdos estáticos), o que o torna totalmente acessível pela Internet, tornando-o uma superfície de ataque atraente.
O Cryptomining ilegal ou Cryptojacking é processo de mineração de criptomoedas sem o consentimento do proprietário da máquina. É uma ameaça emergente em ambientes de nuvem e tem preocupado gestores pois este tipo de ataque, apesar de não comprometer arquivos, gera custos adicionais de serviços de nuvem e lentidão dos sistemas de uma forma silenciosa.
Ainda, não se trata de algo novo, pois as primeiras descobertas do uso do Kinsing datam do final de 2022 – o que mostra como vulnerabilidades antigas e não corrigidas e/ou gerenciadas podem comprometer sistemas inteiros.
Criptomineração ilegal afeta servidores em nuvem
A criptomineração em nuvem tornou-se uma tendência emergente nos últimos anos, impulsionada pela escalabilidade e flexibilidade das plataformas em nuvem. Ao contrário da infraestrutura local tradicional, a infraestrutura em nuvem permite que os invasores implantem rapidamente recursos para criptomineração, facilitando a exploração. Uma das ameaças de criptografia mais comuns para ambientes em nuvem é o malware Kinsing.
O Kinsing é uma notória família de malware ativa há vários anos, visando principalmente infraestrutura em nuvem baseada em Linux. Conhecidos por aproveitar várias vulnerabilidades para obter acesso não autorizado, os agentes de ameaças por trás do malware Kinsing normalmente implantam backdoors e mineradores de criptomoedas (cryptominers) em sistemas comprometidos, que favorecem a criptomineração ilegal. Após a infecção, o Kinsing usa recursos do sistema para criptomineração, o que leva a custos mais elevados e desempenho mais lento do servidor.
Recentemente, descobrimos que o Kinsing também ataca servidores Apache Tomcat e usa novas técnicas para se esconder no sistema de arquivos, incluindo a utilização de locais de arquivos inocentes e não suspeitos para persistência.
