Rudarenje kriptovaluta je daleko glavna zlonamerna aktivnost koju sprovode napadači nakon što su iskoristili prednosti pogrešno konfigurisanih instanci hostovanih na GCP-u, čineći 86% svih radnji koje se sprovode nakon kompromitovanja.
I u mnogim slučajevima, napadači se kreću izuzetno brzo nakon što kompromituju instancu i instaliraju malver za kriptorudarenje kako bi besplatno oslobodili CPU i GPU resurse drugih i tako ostvarili profit.
„Analiza sistema koji se koriste za neovlašćeno rudarenje kriptovaluta, gde su informacije o vremenskoj liniji bile dostupne, otkrila je da je u 58% situacija softver za rudarenje kriptovaluta preuzet u sistem u roku od 22 sekunde nakon što je kompromitovan“, navodi Google u svom prvom Cloud Threat Intelligence izveštaju.
Još jedan upečatljiv trend bio je koliko brzo napadači pronalaze i kompromituju neobezbeđene instance okrenute internetu. Najkraće vreme za postizanje kompromitovanja bilo je 30 minuta nakon što su te instance raspoređene. U 40% slučajeva, vreme za postizanje kompromitovanja bilo je manje od osam sati.
Kako prenosi ZDNet, bezbednosna firma Palo Alto Networks je na sličan način otkrila da je 80% od 320 „honeypot“ instanci koje se nalaze u oblaku — i dizajnirane da lako privuku napadače — kompromitovano u roku od 24 sata.
Kako se u Google-ovom izveštaju ističe, malver za kriptorudarenje predstavlja problem za korisnike GCP-a koji ne preduzimaju korake da zaštite svoje instance u oblaku.
„Iako se čini da krađa podataka nije bila cilj ovih napada, ostaje rizik povezan sa kompromitovanjem sredstava u oblaku jer napadači počinju da vrše višestruke oblike zloupotrebe. Javne Cloud instance okrenute Internetu bile su otvorene za skeniranje i napade grubom silom“, napominje Google.
GCP instance okrenute prema Internetu bile su značajna meta napadača. Nešto manje od polovine kompromitovanih instanci nosili su napadači koji su dobili pristup instancama bez lozinke ili sa slabom lozinkom za korisničke naloge ili API veze, što je značilo da se ove instance mogu lako skenirati.
„Ovo sugeriše da se javni IP adresni prostor rutinski skenira u potrazi za ranjivim instancama oblaka. Neće biti pitanje da li će se otkriti ranjiva Cloud instanca, već kada“, rekli su iz Google-a.
Pored toga, 26% kompromitovanih instanci je bilo zbog ranjivosti u softveru treće strane koji je koristio vlasnik.
„Mnogi uspešni napadi su posledica lošeg održavanja i nedostatka implementacije osnovne kontrole“, rezimirao je Bob Mehler, direktor kancelarije Google Cloud-a za CISO.
Izvor: Benchmark
