Penjahat Cryptomining berfokus pada cloud

Cryptomining berbasis cloud telah berkembang menjadi bentuk kejahatan dunia maya yang dinamis, dan berbagai kelompok penyerang saling bertarung untuk mendapatkan akses ke akun cloud.

Grup Cryptomining meretas akun komputasi awan korban, menggunakan kekuatan komputasi mereka untuk menambang cryptocurrency, jelas Trend Micro dalam laporan terbarunya. Penelitian, yang disebut 'A Floating Battleground:Navigating the Landscape of Cloud-Based Cryptocurrency Mining', memperingatkan bahwa para korban akan kehilangan lebih dari biaya tagihan komputasi awan yang lebih tinggi.

Serangan Cryptomining menggunakan sumber daya GPU cloud, yang menawarkan kinerja penambangan yang lebih baik, atau membahayakan CPU dalam skala besar, kata laporan itu. Yang terakhir ini membutuhkan kompromi sebanyak mungkin dalam akun cloud untuk menambang mata uang digital sebanyak mungkin.

Trend Micro menjalankan XMRig, yang menambang cryptocurrency Monero, pada instance cloudnya sendiri dan melihat penggunaan CPU melonjak dari 13% menjadi 100%. Hal itu akan meningkatkan biaya listrik dari $20 menjadi $130 per bulan, dan menjalankannya pada beberapa kasus akan meningkatkan tagihan cloud secara signifikan.

Sementara beberapa kelompok penyerang menggunakan cryptomining sebagai sumber pendapatan utama mereka, yang lain fokus pada penjualan akses ke akun cloud dan hanya menambang saat mereka menunggu pembeli. Grup sering kali akan saling memperebutkan sumber daya cloud, menggunakan skrip pembunuh untuk menghapus malware satu sama lain.

Laporan tersebut merinci beberapa grup cryptomining aktif. Yang paling aktif pada Agustus 2021 disebut 8220. Trend Micro mendeteksi puncak 2.000 suar ke servernya pada Juli tahun lalu, turun menjadi lebih dari 1.000 pada bulan berikutnya.

8220 telah mengambil posisi teratas dari Kinseng, grup lain yang telah turun menjadi sekitar 500 suar per bulan di bulan Agustus dari 2.000 di bulan Januari. Kedua kelompok ini sering berkelahi satu sama lain, saling mengeluarkan malware dari server target.

Kelompok lain termasuk Outlaw, yang secara konsisten menargetkan perangkat IoT dan server Linux, menggunakan serangan SSH brute-force. Saingannya, TeamTNT, telah mengembangkan taktiknya dengan cepat dengan mengeksploitasi layanan perangkat lunak, mencuri kredensial AWS, dan menyebarkan root kit. Geng ini sekarang tampak tidak aktif.

Serangan cryptomining adalah tanda keamanan siber yang buruk yang dapat membuat korban rentan terhadap lebih banyak serangan, Trend Micro memperingatkan. Sebagian besar serangan mengeksploitasi perangkat lunak yang sudah ketinggalan zaman. Pengguna cloud harus memastikan bahwa sistem mereka mutakhir dan hanya menjalankan layanan yang diperlukan, katanya.

Laporan tersebut juga mengidentifikasi keamanan API sebagai masalah, memperingatkan pelanggan cloud untuk tidak mengekspos API dari produk seperti Docker dan Kubernetes ke Internet. Buat mereka hanya dapat diakses oleh admin, tambahnya.

Langkah-langkah mitigasi lainnya termasuk menetapkan ambang batas untuk metrik seperti aktivitas CPU dan mengizinkan daftar untuk koneksi eksternal.

Penyedia cloud besar telah mengakui masalah cryptomining. Bulan lalu, Google menambahkan perlindungan cryptomining ke layanan cloud-nya setelah infeksi meluas.