Contêineres contaminados com cryptojackers e que foram armazenados no Docker Hub, um dos maiores repositórios de contêineres baseado em nuvem, já foram baixados perto de 20 milhões de vezes e continuam lá. São 30 imagens que estão contaminadas há mais ou menos dois anos para fazerem mineração de criptomoedas para os autores da contaminação. O DockerHUb é utilizado por desenvolvedores e parceiros do Docker, que ali criam, testam, armazenam e distribuem imagens de contêiner. Por meio do Docker Hub, um usuário pode acessar repositórios de imagens públicas e de código aberto, bem como usar um espaço para criar seus próprios repositórios privados, funções de construção automatizadas, webhooks e grupos de trabalho.
Veja isso
Erro de configuração de nuvem leva call center a expor 114 mil arquivos
Worm contamina 2 mil Dockers para mineração
O alerta da contaminação foi feito por Aviv Sasson, membro da equipe de inteligência de ameaças da Palo Alto Networks, a Unidade 42. O pesquisador descobriu que os contêineres vieram de dez diferentes contas. Alguns deles têm nomes que indicam claramente sua finalidade, enquanto outros têm nomes enganosos como “proxy” ou “ggcloud” ou “docker”. Imagens de todas as contas, exceto uma, continuam disponíveis no Docker Hub neste momento. No entanto, o proprietário de uma conta chamada “xmrigdocker” parece ter retirado suas imagens do registro.
Na maioria dos casos, a operação dos invasores explorava a criptomoeda Monero, por meio da ferramenta XMRig. No entanto, Sasson descobriu que algumas operações buscavam também as criptomoedas Grin (GRIN) ou ARO (Aronium). Depois de inspecionar o pool de mineração, o pesquisador estima que a atividade de criptomoeda envolvendo esses contêineres permitiu aos invasores obter cerca de US$ 200 mil em criptomoedas.
Os atacantes preferem o Monero por três razões segundo Aviv Sasson:
- O Monero proporciona anonimato máximo. Uma de suas características é que, ao contrário de outras moedas, as transições Monero ficam ocultas. Essa privacidade é perfeita para cibercriminosos porque significa que suas atividades estão ocultas. Portanto, eles não serão banidos das trocas e será mais fácil para eles escaparem das tentativas de rastreamento de seus fundos.
- O algoritmo de mineração do Monero favorece a mineração com CPU, enquanto outras minerações exigem ASICs ou GPUs. Isso é conveniente porque todos os computadores têm CPUs. Assim, o minerador pode funcionar com eficácia em qualquer máquina. Isso é ainda mais adequado para contêineres, dos quais a grande maioria funciona sem uma GPU.
- Monero é uma moeda popular e seu volume de troca gira em torno de US$ 100 milhões por dia, facilitando a venda pelos atacantes.
Com agências de notícias internacionais
