Una macchina virtuale AWS è infettata da malware di mining. Potrebbero essercene altri

Un'azienda di sicurezza informatica ha scoperto uno script di mining Monero incorporato in un'istanza pubblica di una macchina virtuale di Amazon Web Service (AWS). Ora l'azienda si chiede: quante altre Amazon Machine Instance (AMI) della comunità sono infette dallo stesso malware?

Ricercatori pressoMitiga ha rivelato in un post del blog di venerdì che un'AMI AWS per un server virtuale Windows 2008 ospitato da un fornitore non verificato è infettata da uno script di mining Monero . Il malware avrebbe infettato qualsiasi dispositivo che eseguisse l'AMI con lo scopo di utilizzare la potenza di elaborazione del dispositivo per estrarre la moneta Privacy Monerosullo sfondo, un attacco malware che è diventato fin troppo comune nel selvaggio West digitale delle criptovalute.

"Il team di ricerca sulla sicurezza di Mitiga ha identificato un'AMI della community AWS contenente codice dannoso che esegue un miner Cripto (Monero) non identificato. Abbiamo il timore che questo possa essere un fenomeno, piuttosto che un evento isolato", si legge nel post del blog.

Monero incontra AMI

Le aziende e altre entità utilizzano Amazon Web Services per avviare le cosiddette istanze "EC2" di programmi e servizi popolari. Conosciute anche come macchine virtuali, queste EC2 sono sviluppate da terze parti e distribuite sotto laIstanza macchina Amazonframework e le aziende sfruttano questi servizi per abbassare i costi di potenza di calcolo per le loro operazioni aziendali. Gli utenti AWS possono reperire questi servizi da Amazon Marketplace AMI, che sono venditori verificati da Amazon, o Community AMI, che non sono verificate.

Continua a leggere: BlackBerry e Intel affrontano il malware Cryptojacking con un nuovo strumento di rilevamento

Mitiga ha scoperto questo script Monero in una Community AMI per un Windows 2008 Server mentre conduceva un audit di sicurezza per una società di servizi finanziari. Nella sua analisi, Mitiga ha concluso che l'AMI è stata creata con il solo scopo di infettare i dispositivi con il malware di mining, poiché lo script è stato incluso nel codice dell'AMI sin dal ONE giorno.

A parte la società di servizi finanziari che ha incaricato Mitiga di esaminare l'AMI, l'azienda di sicurezza informatica non è a conoscenza di quante altre entità e dispositivi potrebbero essere infettati dal malware.

"Per quanto riguarda il modo in cui Amazon consente che ciò accada, beh, questa è la domanda più grande che emerge da questa Da scoprire, ma è una domanda che dovrebbe essere rivolta anche al team di comunicazione di AWS", ha detto il team a CoinDesk via e-mail.

CoinDesk ha contattato Amazon Web Services per Imparare di più sul suo approccio alla gestione di editori AMI non verificati, ma un rappresentante ha rifiutato di rilasciare dichiarazioni. Amazon Web Service documentazione include l'avvertenza che gli utenti scelgono di utilizzare le AMI della Community "a [proprio] rischio" e che Amazon "T può garantire l'integrità o la sicurezza di [queste] AMI".

Evento unico o ONE dei tanti?

La preoccupazione principale di Mitiga è che questo malware potrebbe essere ONE dei tanti bug che si aggirano nelle AMI non verificate. Il fatto che Amazon non fornisca dati trasparenti sull'uso di AWS aggrava questa preoccupazione, ha detto l'azienda a CoinDesk.

"Dato che l'utilizzo dei clienti AWS è offuscato, T possiamo sapere quanto lontano e quanto ampiamente si estenda questo fenomeno senza un'indagine di AWS. Tuttavia, crediamo che il rischio potenziale sia abbastanza alto da emettere un avviso di sicurezza a tutti i clienti AWS che utilizzano le AMI della community".

Continua a leggere: La Corea del Nord sta espandendo le sue operazioni di estrazione Monero , afferma un rapporto

Mitiga raccomanda a qualsiasi entità che gestisce una community AMI di terminarla immediatamente e di cercare un sostituto da un fornitore affidabile. Come minimo, le aziende che si affidano ad AWS dovrebbero esaminare attentamente il codice prima di integrare AMI non verificate nella loro logica aziendale.

Il malware di mining potrebbe in realtà essere la forma di infezione più innocua che un'azienda possa sperimentare, ha continuato l'azienda nel post. Lo scenario peggiore include un'AMI che installa una backdoor sul computer di un'azienda o un ransomware che crittograferebbe i file dell'azienda con l'obiettivo di estorcerle denaro per riottenere l'accesso.

L'attacco è l'ultimo di una serie di cosiddetti attacchi "crypto-jacking". Monero è la moneta preferita dagli aggressori grazie al suo algoritmo di mining, che può essere eseguito facilmente utilizzando la CPU e la GPU di un computer. Quando gli aggressori infettano abbastanza computer e mettono in comune le loro risorse, l'hashpower collettivo è sufficiente a meritare una bella giornata di paga.

Se i timori di Mitiga fossero fondati, altre AMI potrebbero aver infettato i dispositivi degli utenti con script di mining Monero , passando inosservate.