docker

Malware rouba credenciais AWS, ataca Docker e Kubernetes

Worm com mineração de criptomoeda é considerado o primeiro que também rouba credenciais AWS
Da Redação
18/08/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Os especialistas da Cado Security, de Londres, anunciaram ter descoberto um malware de criptomineração que também rouba credenciais em plataformas AWS. Num post no blog da empresa, os pesquisadores afirmam que é o primeiro registro de um ‘worm’ que contendo uma funcionalidade específica para AWS: “Ele também vasculha a Internet em busca de plataformas Docker configuradas incorretamente. Vimos os invasores, que se autodenominam ‘TeamTNT’, comprometerem vários sistemas Docker e Kubernetes”.

A equipe da Cado acha que esses ataques são indicativos de uma tendência mais ampla: “Conforme as organizações migram seus recursos de computação para ambientes de nuvem e contêineres, vemos invasores os seguindo até lá”. Os especialistas localizaram 119 sistemas comprometidos, alguns dos quais podem ser identificados como clusters Kubernetes e servidores de compilação Jenkins.

Veja isso
Kubernetes são atingidos por ataque de mineração de criptografia
Worm contamina 2 mil Dockers para mineração

Analisando o código do worm, a equipe comentou que “a maioria dos worms de criptografia é uma mistura, pois os autores copiam e colam o código de seus concorrentes. O worm da TeamTNT contém código copiado de outro chamado Kinsing, projetado para derrubar as ferramentas de segurança da nuvem Alibaba”. Como as cópias são ilimitadas, os pesquisadores acham provável outros worms começarem a copiar a capacidade de roubar arquivos de credenciais da AWS também.

O worm, segundo eles, também inclui código para verificar se há APIs do Docker abertas usando masscan, depois de  ativar as imagens do docker e se instalar: “O worm implanta a ferramenta de mineração XMRig para minerar monero e gerar dinheiro para os invasores. Um dos pools de mineração que eles usam fornece informações detalhadas sobre os sistemas que o worm comprometeu”.

O que é AWS

AWS é a sigla de Amazon Web Services, uma subsidiária da Amazon que aluga plataformas de computação em nuvem sob demanda para indivíduos, empresas e governos. Os serviços podem ser considerados uma infraestrutura básica de computação distribuída – não centralizada num só local. A AWS oferece os serviços em computadores virtuais (ou máquinas virtuais) que reproduzem a maioria dos atributos de um computador real, permitindo ao cliente escolher o as dimensões para unidades de processamento central (CPUs), processamento gráfico (GPUs), memória, armazenamento em disco rígido ou SSD; permite ainda a escolha de sistemas operacionais, networking e aplicativos como servidores http, bancos de dados e software para gerenciar relacionamento com o cliente (CRM).

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório