Computer Security Servidores do Docker Afetados pela Nova Campanha do...

Servidores do Docker Afetados pela Nova Campanha do Malware Kinsing

criptografia Nos últimos meses, uma campanha de malware foi direcionada à digitaqlização de servidores Docker executando portas de API sem senhas e expostas na Internet. Os invasores invadiam esses hosts e os usavam para instalar o Kingsing - um novo malware de criptografia.

Os ataques começaram no ano passado, de acordo com a empresa de segurança na nuvem Aqua Security, detalhando as ações da campanha em uma postagem no blog recentemente.

Os ataques foram apenas uma parte de uma lista de campanhas de malware direcionadas às instâncias do Docker. Isso permite que os atacantes usem os sistemas e seus vastos recursos para quaisquer ações nefastas que possam ter em mente.

Gal Singer, pesquisador do Aqua Security, mencionou que quando os hackers descobrem uma instância do Docker usando uma porta API exposta, eles usam essa porta para acessar e configurar um contêiner Ubuntu. Essa instância é usada para instalar o malware Kinsing.

O principal objetivo do malware é minerar criptomoeda nas instâncias afetadas do Docker. A ameaça quer mais do que isso, pois inclui scripts que eliminam outros malwares. Ele também reúne credenciais SSH locais e tem a capacidade de se espalhar na rede de contêineres da empresa, infectando outros sistemas em nuvem.

Como os ataques de malware Kinsing ainda estão ativos, a Aqua Security fez recomendações para que as empresas verifiquem sua segurança em qualquer instância do Docker. Garantir que nenhuma API administrativa seja exposta online. Os pontos de extremidade do administrador devem ser protegidos atrás de um gateway VPN ou firewall, caso precisem estar online, mas devem ser desativados quando não estiverem em uso.

A recente campanha de Kingsing é apenas a mais recente de uma longa lista de ataques direcionados às instâncias do Docker, usando botnets de criptografia. Os ataques foram notados pela primeira vez durante a primavera de 2018. Sysdig e Aqua foram as primeiras empresas que notaram a atividade naquele momento.

Mais ataques se seguiram desde então, com relatórios detalhando os ataques lançados pela Trendo Micro, Juniper Networks, Imperva, Alibaba Cloud e Palo Alto Networks.

Uma das maneiras mais comuns dos Trojans como o Kinsing se instalarem nos sistemas vulneráveis é quando são baixados voluntariamente. Depois que os usuários abrem a ameaça disfarçada, os Trojans geralmente ganham reinado livre dentro do sistema. O acesso dado ao malware força as máquinas a realizar mineração de criptomoeda nesse caso, mas algumas ameaças podem ser usadas para espalhar mais spam ou propagar mais. O parentesco é interessante na maneira como elimina ameaças rivais dos sistemas que infecta, garantindo que não haja concorrência enquanto realiza seu trabalho.

Carregando...