Les cybercriminels ont commencé à cibler les serveurs s'exécutant sur le cloud d'Alibaba dans le but de les utiliser pour exploiter des crypto-monnaies.
Le cryptojacking, dans lequel un attaquant prend le contrôle des serveurs d'une organisation pour exploiter la crypto-monnaie, n'est pas nouveau, mais Trend Micro a remarqué que les cybercriminels ciblent de plus en plus l'infrastructure cloud d'Alibaba pour exploiter Monero, car ils ne peuvent pas être trouvés.
Les instances d'Alibaba Elastic Computing Service (ECS) sont particulièrement précieuses pour les cybercriminels car elles disposent d'une fonction d'autoscaling qui permet au service d'ajuster automatiquement les ressources informatiques en fonction du volume de demandes des utilisateurs, selon un nouveau rapport d'entreprise sur la cybersécurité. Bien que cette fonctionnalité soit fournie aux clients d'Alibaba sans frais supplémentaires, l'utilisation accrue des ressources entraîne finalement des coûts supplémentaires pour vos clients.
Le paysage du cryptojacking est partagé par plusieurs acteurs de la menace, y compris Kinsing et TeamTNT, bien que leur code partage des caractéristiques communes, telles que la possibilité de supprimer les joueurs concurrents qui recherchent également des crypto-monnaies et de désactiver les fonctionnalités de sécurité trouvées sur la machine victime.
Accédez aux instances Alibaba ECS
Les instances ECS d'Alibaba sont livrées avec un bouclier de sécurité préinstallé que les cybercriminels tentent souvent de désactiver immédiatement après avoir accédé au serveur d'un client.
Au cours de sa récente enquête, Trend Micro a découvert un code spécifique dans le logiciel malveillant utilisé par les attaquants pour créer des règles de pare-feu afin de supprimer les paquets entrants des plages d'adresses IP appartenant aux zones et régions internes d' Alíbaba. Al mismo tiempo, la instancia predeterminada de Alibaba ECS proporciona acceso de root, lo que facilita mucho a los ciberdelincuentes el uso de sus servidores en la nube para el cryptojacking.
Avec le privilège le plus élevé possible déjà disponible en cas de compromission, un attaquant peut déployer des charges utiles avancées, telles que des rootkits de module de noyau, et gagner en persistance sur l'instance Alibaba ECS de la victime. Cela pourrait être l'une des raisons pour lesquelles les cybercriminels ont commencé à cibler spécifiquement le service de cloud computing de l'entreprise chinoise par rapport à des concurrents comme AWS ou Microsoft Azure.
Pour les organisations utilisant Alibaba Cloud, Trend Micro recommande de pratiquer un modèle de responsabilité partagée dans lequel les CSP et les utilisateurs sont chargés d'assurer les configurations de sécurité des charges de travail, des projets et des environnements, de personnaliser les fonctionnalités, la sécurité des projets et des charges de travail dans le cloud et de suivre le principe de le moindre privilège lorsque le nombre d'utilisateurs avec les privilèges d'accès les plus élevés est limité.
Découvrez également le meilleur logiciel de protection des terminaux, le meilleur pare-feu cloud et le meilleur logiciel de suppression de logiciels malveillants.