Krypto-Mining-Angriffe

Schürfen über fremde Cloud-Infrastrukturen

Trend Micro hat einen Forschungsbericht zum Thema Kryptowährungs-Mining veröffentlicht. Daraus geht hervor, wie Cyberkriminelle Cloud-Infrastrukturen von Unternehmen kompromittieren und diese für ihre Zwecke missbrauchen. Dabei würden verschiedene Gruppen sogar um die Kontrolle betroffener Systeme kämpfen.

Bild: ©peterschreiber.media/adobe.stock.de

Laut eines Berichts von Trend Micro suchen Bedrohungsakteure zunehmend nach angreifbaren Instanzen, um diese für Kryptowährungs-Mining zu nutzen. Unter anderem setzen sie dabei auf Brute-Forcing von SecureShell(SSH)-Anmeldeinformationen, um Cloud-Ressourcen zu kompromittieren. Die Opfer würden oftmals veraltete Software in der Cloud-Umgebung, mangelnde Cloud-Sicherheitshygiene oder unzureichende Kenntnisse über den Schutz von Cloud-Diensten aufweisen, so die Trend Micro-Spezialisten. Während der Pandemie seien die Investitionen in Cloud Computing gestiegen. Dabei führe die einfache Bereitstellung der neuen Systeme dazu, dass viele Cloud-Anwendungen länger als nötig online seien – oftmals ungepatcht und fehlkonfiguriert.

Der Report zeigt verschiedene negative Folgen des bösartigen Kryptominings für betroffene Unternehmen: Zum einen drohe der zusätzliche Computing-Workload wichtige Cloud-Dienste zu verlangsamen. Zum anderen würden die Betriebskosten für jedes infizierte System um bis zu 600 Prozent steigen. Darüber hinaus könne Kryptomining ein Vorbote für eine noch gravierendere Kompromittierung sein, so die Autoren des Reports. Viele professionelle Bedrohungsakteure setzen Mining-Software ein, um zusätzliche Einnahmen zu generieren, bevor Online-Käufer den Zugang zu Ransomware, gestohlenen Daten und mehr von ihnen erwerben.

„Schon wenige Minuten der Kompromittierung können den Angreifern Gewinne einbringen. Deshalb beobachten wir einen kontinuierlichen Kampf um Cloud-CPU-Ressourcen. Es ist wie ein reales ’Capture-the-Flag‘-Spiel, wobei die Cloud-Infrastruktur des betroffenen Unternehmens das Spielfeld ist“, erklärt Richard Werner, Business Consultant bei Trend Micro. „Solche Bedrohungen erfordern eine einheitliche, plattformbasierte Sicherheit, um zu gewährleisten, dass sich die Angreifer nicht verstecken können. Die richtige Plattform unterstützt IT-Teams dabei, ihre Angriffsfläche zu überblicken, das Risiko einzuschätzen und den richtigen Schutz zu wählen, ohne dabei einen hohen Mehraufwand zu generieren.“

Die Forscher von Trend Micro legen die Aktivitäten mehrerer Kryptomining-Bedrohungsgruppen offen – darunter folgende Gruppen und ihre Vorgehensweisen:

• Outlaw kompromittiert IoT-Geräte und Linux-Cloud-Server, indem sie bekannte Schwachstellen ausnutzt oder Brute-Force-Angriffe auf SSH durchführt.
• TeamTNT nutzt verwundbare Software, um Hosts zu kompromittieren. Anschließend stiehlt die Gruppe Anmeldeinformationen für weitere Dienste, um so auf neue Hosts zuzugreifen und deren fehlkonfigurierte Services zu missbrauchen.
• Kinsing installiert ein XMRig-Kit für das Mining von Monero und entfernt dabei alle weiteren Miner von dem betroffenen System.
• 8220 kämpft mit Kinsing um dieselben Systeme. Häufig vertreiben sie sich gegenseitig von einem Host und installieren anschließend ihre eigenen Kryptowährungs-Miner.
• Kek Security wird mit IoT-Malware und der Ausführung von Botnet-Diensten assoziiert.

Um die Bedrohung durch Kryptowährungs-Mining-Angriffe in der Cloud einzudämmen, empfiehlt Trend Micro folgende Sicherheitsmaßnahmen:

• Sicherstellen, dass die Systeme auf dem neuesten Stand sind und nur die erforderlichen Dienste ausgeführt werden.
• Firewalls, Intrusion-Detection-Systeme (IDS)/ Intrusion-Prevention-Systeme (IPS) und Cloud Endpoint Security zur Begrenzung und Filterung des Netzwerkverkehrs für bekannte schädliche Hosts einsetzen.
• Konfigurationsfehler mit Hilfe von Cloud-Security-Posture-Management-Tools vermeiden.
• Den Datenverkehr zu und von Cloud-Instanzen überwachen und Domänen herausfiltern, die mit bekannten Mining-Pools verbunden sind.
• kostenorientierte Regeln zur Überwachung offener Ports, zu Änderungen am Domain-Name-System(DNS)-Routing und zur Auslastung der CPU-Ressourcen einführen.

Das könnte Sie auch interessieren:

Aus- und Weiterbildung
VDI bietet Big-Data-Schulungen an

Auf Grundlage der im November 2022 veröffentlichten Richtlinie VDI/VDE-MT 3714 bietet der VDI Schulungen für die Implementierung und den Betrieb von Big-Data-Anwendungen an. ‣ weiterlesen

Überwachungsbedürftige Anlagen
Anforderungen an Cybersecurity konkretisiert

Die Anforderungen an die Cybersecurity von überwachungsbedürften Anlagen werden deutlich konkretisiert. Betreiber müssen mögliche Gefährdungen ihrer Anlagen durch Cyberangriffe ermitteln und wirksame Gegenmaßnahmen entwickeln. Die zugelassenen Überwachungsstellen (ZÜS) werden zukünftig überprüfen, ob Cyberbedrohungen im Zusammenhang mit dem sicheren Betrieb der Anlagen ausreichend behandelt wurden.‣ weiterlesen

19. Deutscher IT-Sicherheitskongress
Eröffnung des Anmeldeportal für den digitalen Kongress

Mit dem Start der Anmeldung öffnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die digitalen Pforten für den 19. Deutschen IT-Sicherheitskongress. Am 10. und 11. Mai 2023 findet der Kongress unter dem Motto 'Digital sicher in eine nachhaltige Zukunft' digital statt.‣ weiterlesen

Neue Variante ausgebrochen
USB-Wurm überquert gleich drei Kontinente

Die längst verstaubt geglaubte Masche des 'Ich lasse mal einen USB-Stick mit Schadsoftware auf Parkplätzen zum Mitnehmen herumliegen' wurde doch tatsächlich noch einmal aus der Cybercrime-Kiste geholt.‣ weiterlesen

KI-Funktionen in Standardsoftware
Qualitätsmanagement-System mit integrierter KI

Softwareanbieter Consense ergänzt sein Qualitätsmanagement-System um KI-gestützte Funktionen. Die Algorithmen sollen helfen, Prozesse zu automatisieren und einfacher zu gestalten. ‣ weiterlesen

Sonicwall Cyber Threat Report 2023
Neue Cyberfronten und verändertes Verhalten von Bedrohungsakteuren

Sonicwall hat den Sonicwall Cyber Threat Report 2023 veröffentlicht. Dieser zweimal jährlich erscheinende Bericht gibt Einblicke in eine zunehmend diversifizierte Cyberbedrohungslandschaft und die sich verändernden Strategien der Bedrohungsakteure.‣ weiterlesen

Smart Factories schützen
Secure Digital Platform sorgt für umfassende IT-Sicherheit

Smart Factories bieten eine breite Angriffsfläche für Cyberattacken. Deshalb sichert die Freie Universität Bozen ihre 'Smart Mini Factory', eine Lernfabrik für Industrie-4.0-Technologien, mit der Endian Secure Digital Platform. Neben umfassender IT-Sicherheit ermöglicht die Plattform die Nutzung von Edge Computing und das Management von Rollen und Rechten.‣ weiterlesen

Digitales Mapping für Netzwerk-Kabel

Panduit geht mit einem neuen System an den Markt, mit dem sich Netzwerkkabel digital archivieren und dokumentieren lassen. Dazu nutzen Netzwerktechniker und -Installateure die voretikettierten Patch-Kabel und den dazu passenden Bluetooth-fähigen Handscanner des RapidID Network Mapping Systems.‣ weiterlesen

Unternehmensfusion
Aus Plato und IQS wird PeakAvenue

Seit Sommer 2022 gehen Plato und IQS Software gemeinsame Wege. Nun fusionieren die Unternehmen zur PeakAvenue GmbH. ‣ weiterlesen

Automatisierter Vergleich von Windchill-Zeichnungen

SF Drawing Compare ist ein neues Produkt der Münchener Firma Software Factory, das die Validierung von Zeichnungsänderungen in Windchill beschleunigen und vereinfachen soll.‣ weiterlesen

IIoT-Software von Kontron
Gerätemanagement mit Susietec

Auf der letzten SPS-Messe präsentierte Kontron das neue Gerätemanagementsystem K-Port. Diese Ergänzung des noch jungen Susietec-Portfolios soll Anwendern helfen, IoT-Funktionen möglichst einfach auf ihre Automatisierungssysteme zu applizieren. Was das Tool leistet und wie es sich ins Software-Angebot des Hardware-Spezialisten einfügt.‣ weiterlesen