21 feb. 2018

Tesla víctima de Cryptojacking en sus servidores

La minería en la nube es posible hace tiempo y el código malicioso para hacerlo en ordenadores de terceros sin permiso, también. Lo que se hizo en esta oportunidad fue justamente acceder a la cuenta en la nube de Tesla para minar criptomonedas.

Según lo relatado por el equipo de RedLock Cloud Security, los atacantes lograron infiltrarse en la consola de administración de Kubernetes (un sistema diseñado por Google para optimizar las aplicaciones en la nube) de Tesla, porque increíblemente no tenía contraseña.
El cryptojacking es un proceso en el cual se utiliza un código para explotar la capacidad de un CPU ajeno con la intención de extraer criptomonedas. Recientemente, vimos cómo más de 4.200 sitios fueron "secuestrados" para esta práctica.

De esta forma, se hicieron de las credenciales de Tesla para entrar a la cuenta en la nube de Amazon Web Services (AWS). Estando dentro, instalaron un software de minería y, según señala la firma, probablemente lo configuraron para usar solo una parte del procesamiento y no levantar sospechas. El método llamado cryptojacking también afectó a la aseguradora británica Aviva y el fabricante holandés SIM Gemalto. Desde Tesla se refirieron al incidente: "Abordamos esta vulnerabilidad a las pocas horas de conocerla. Nuestra investigación inicial no encontró indicios de que la seguridad del cliente o la seguridad de los vehículos se viera comprometida de alguna manera."

Desde RedLock, aunque no han especificado cuál fue la criptomoneda que minaron, declararon que el constante monitoreo es fundamental: "El mensaje de esta investigación es alto y claro: el inconfundible potencial de los entornos en la nube se ve seriamente comprometido por delincuentes. La seguridad es una responsabilidad compartida. Las organizaciones de todo tipo están obligadas a monitorear sus infraestructuras para configuraciones riesgosas, actividades anómalas del usuario, tráfico de red sospechoso y vulnerabilidades del host."

Los investigadores de Check Point descubrieron hace 18 meses la que podría ser la mayor campaña maliciosa de actividades de minado de criptodivisas, en la cual estuvo implicado un minero Open Source llamado XMRig que estaba siendo ejecutado en muchas versiones de Windows para realizar el clásico uso de recursos ajenos. El actor malicioso tras la campaña, que es de origen chino, ha decidido ahora cambiar de rumbo para centrarse en un conjunto de recursos mucho más poderoso: las implementaciones del servidor de Integración Continua Jenkins.

Jenkins es una de las soluciones Open Source de integración continua y orquestación de DevOps más usadas del mundo. Se estima que está siendo utilizada por un millón de usuarios, y desde Check Point creen que su gran difusión puede ser el principal motivo de por qué ha llamado la atención de los cibercriminales relacionados con el minado de criptodivisas. Obviamente, al apuntar esta campaña contra una tecnología de servidor, no utiliza los recursos de los ordenadores pertenecientes a los usuarios finales, sino que se aprovecha de la teórica mayor potencia de los servidores. Se estima que hasta ahora los cibercriminales han conseguido minar por un valor de 3 millones de dólares.

Sobre las características de este malware, al que han llamado JenkinsMiner desde Check Point, los investigadores de la mencionada empresa de ciberseguridad han descubierto que tiene similitudes con RubyMiner, otro minero utilizado con propósitos maliciosos. RubyMiner llegó en su momento a infectar a un 30% de las redes públicas del mundo y comparte con JenkinsMiner la posibilidad añadida de poder provocar denegaciones de servicio (DDoS) en las máquinas infectadas, algo que perjudicaría gravemente a las empresas tanto en su funcionamiento como a nivel económico. Al igual que Coinhive y buena parte del malware que se dedica a esa actividad, JenkinsMiner se dedica a minar la criptodivisa Monero.

Fuente:Fayerwayer | Muy Seguridad

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!