Les cybercriminels ont commencé à cibler les serveurs fonctionnant sur Alibaba Cloud dans le but de les utiliser pour extraire de la crypto-monnaie.
Le cryptojacking, dans lequel un attaquant prend le contrôle des serveurs d’une organisation pour extraire de la crypto-monnaie, n’est pas nouveau, mais Trend Micro a remarqué que les cybercriminels ciblent de plus en plus l’infrastructure cloud d’Alibaba pour exploiter Monero car elle est introuvable.
Les instances d’Alibaba Elastic Computing Service (ECS) sont particulièrement intéressantes pour les cybercriminels, car elles disposent d’une fonction de mise à l’échelle automatique qui permet au service d’ajuster automatiquement les ressources informatiques en fonction du volume de demandes des utilisateurs, selon un nouveau rapport de la société de cybersécurité. Bien que cette fonctionnalité soit fournie aux clients d’Alibaba sans frais supplémentaires, l’augmentation de l’utilisation des ressources entraîne finalement des frais supplémentaires pour ses clients.
Le paysage du cryptojacking est partagé par plusieurs acteurs de la menace, notamment Kinsing et TeamTNT, bien que leur code partage des caractéristiques communes telles que la possibilité de supprimer les acteurs concurrents qui recherchent également la crypto-monnaie et de désactiver les fonctionnalités de sécurité trouvées sur la machine victime.
Sommaire
Ciblage des instances Alibaba ECS
Les instances Alibaba ECS sont livrées avec un agent de sécurité préinstallé que les cybercriminels tentent souvent de désactiver immédiatement après avoir accédé au serveur d’un client.
Au cours de sa récente enquête, Trend Micro a découvert un code spécifique dans le malware utilisé par les attaquants pour créer des règles de pare-feu afin de supprimer les paquets entrants des plages d’adresses IP appartenant aux zones et régions internes d’Alibaba. Dans le même temps, l’instance par défaut d’Alibaba ECS fournit un accès root, ce qui permet aux cybercriminels d’utiliser beaucoup plus facilement ses serveurs cloud pour le cryptojacking.
Avec le privilège le plus élevé possible déjà disponible en cas de compromission, un attaquant peut déployer des charges utiles avancées telles que des rootkits de module de noyau et obtenir une persistance sur l’instance Alibaba ECS d’une victime. Cela pourrait être l’une des raisons pour lesquelles les cybercriminels ont commencé à cibler spécifiquement le service de cloud computing de l’entreprise chinoise par rapport à des concurrents tels qu’AWS ou Microsoft Azure.
Pour les organisations utilisant Alibaba Cloud, Trend Micro recommande qu’elles pratiquent un modèle de responsabilité partagée où les CSP et les utilisateurs ont la responsabilité d’assurer les configurations de sécurité des charges de travail, des projets et des environnements, de personnaliser les fonctionnalités de sécurité des projets et charges de travail cloud et de suivre le principe de moindre privilège où le nombre d’utilisateurs avec les privilèges d’accès les plus élevés est limité.
Consultez également le meilleur logiciel de protection des terminaux, meilleur pare-feu cloud et meilleur logiciel de suppression de malware