Explorando a Monetização através da Nuvem e Blockchain
A evolução contínua das táticas de hackers no mundo da tecnologia é um desafio persistente para a segurança cibernética. Uma das últimas estratégias a surgir é a monetização do cryptojacking por meio da criação de máquinas virtuais em serviços de computação em nuvem para participar de redes de entrega de conteúdo baseadas em blockchain. Esta técnica inovadora visa contornar as medidas de segurança tradicionais que se concentram na detecção do uso da CPU e da RAM, em vez disso, aproveitando o espaço de armazenamento e a largura de banda disponíveis.
Recentemente, pesquisadores da empresa de segurança Sysdig identificaram uma campanha de ataque que gerou cerca de 6.000 microinstâncias em uma conta comprometida da AWS, distribuídas em diferentes regiões. Essas instâncias foram então utilizadas para implantar um cliente em um serviço de entrega de conteúdo baseado em blockchain e mercado de largura de banda chamado Meson Network. Este serviço permite aos usuários disponibilizarem seu espaço de armazenamento extra e largura de banda em troca de tokens criptográficos, chamados MSN, semelhante à mineração em outras criptomoedas.
Uma característica intrigante desse ataque é que ele se diferencia das técnicas tradicionais de criptomineração, pois não se concentra na utilização de recursos computacionais como CPU e RAM. Em vez disso, os hackers exploram a capacidade de geração de instâncias em nuvem, contornando assim as limitações impostas pelos administradores de conta.
Os invasores empregaram várias técnicas para obter acesso inicial aos servidores de suas vítimas, incluindo a exploração de vulnerabilidades conhecidas, como a CVE-2021-3129 na estrutura Laravel PHP, bem como configurações incorretas do WordPress. Uma vez dentro do sistema, eles utilizaram técnicas de reconhecimento para determinar o ambiente e abusaram dos privilégios das credenciais comprometidas da AWS para gerar um grande número de instâncias em várias regiões, executando o binário do Meson Network.
Surpreendentemente, os pesquisadores observaram que o aplicativo Meson consumia uma quantidade relativamente baixa de recursos de CPU e memória, em comparação com incidentes tradicionais de cryptojacking. Isso torna a detecção desse tipo de ataque ainda mais desafiadora, pois os sinais de alerta tradicionais, como picos no uso da CPU e da memória, podem não ser tão evidentes.
Diante desse novo cenário, os especialistas em segurança recomendam que as organizações implementem medidas adicionais de detecção. Por exemplo, o monitoramento de picos no tráfego e no uso do armazenamento pode servir como indicadores de atividade suspeita, juntamente com um aumento no número de conexões de saída. Os logs do Cloudtrail podem ser úteis para rastrear eventos como a geração de novas instâncias, enquanto regras podem ser criadas para monitorar atividades em regiões da AWS que normalmente não são utilizadas pela conta.
Embora a Meson Network seja um serviço legítimo, os hackers estão constantemente explorando novas maneiras de monetizar servidores comprometidos. No ano passado, a Akamai relatou um ataque semelhante, apelidado de proxyjacking, no qual hackers adicionaram servidores comprometidos a redes de proxy comercial, oferecendo dinheiro aos usuários em troca de largura de banda.
Em resumo, a rápida evolução das técnicas de hacking ressalta a importância de uma abordagem proativa para a segurança cibernética, incluindo a implementação de medidas avançadas de detecção e resposta a incidentes. A adaptação constante é essencial para enfrentar os desafios emergentes e proteger os sistemas contra ameaças cada vez mais sofisticadas.