Servidores Docker apuntados por la nueva campaña de malware Kinsing


kinsingmalwareinfography.png

Imagen: Aqua

Durante los últimos meses, una operación de malware ha estado escaneando en World wide web servidores Docker que ejecutan puertos API expuestos en Net sin contraseña. Los piratas informáticos están entrando en hosts desprotegidos e instalando una nueva cepa de malware de cripto-minería llamada Kinsing.

Los ataques comenzaron el año pasado y aún continúan, según la firma de seguridad en la nube Aqua Security, que detalló la campaña en una publicación de blog site el viernes.

Estos ataques son solo los últimos en una larga lista de campañas de malware que se han dirigido a instancias de Docker, sistemas que, cuando se ven comprometidos, brindan a los grupos de hackers acceso ilimitado a vastos recursos computacionales.

Según Gal Singer, un investigador de seguridad de Aqua, una vez que los piratas informáticos encuentran una instancia de Docker con un puerto API expuesto, utilizan el acceso proporcionado por este puerto para activar un contenedor de Ubuntu, donde descargan e instalan el malware Kinsing.

El objetivo principal del malware es extraer criptomonedas en la instancia de Docker pirateada, pero también viene con funciones secundarias. Estos incluyen descargar y ejecutar una versión del motor antivirus ClamAV para detectar y eliminar otro malware que pueda ejecutarse localmente, pero también un script que reúne credenciales SSH locales en un intento de propagarse a la purple de contenedores de una empresa, para infectar otros sistemas en la nube con el mismo malware

Dado que los ataques de malware de Kinsing todavía están en curso, Aqua recomienda que las empresas revisen la configuración de seguridad de sus instancias de Docker y se aseguren de que las API administrativas no estén expuestas en línea. Dichos puntos finales de administración deben estar detrás de un firewall o puerta de enlace VPN, si necesitan exponerse en línea, o deshabilitarse cuando no se usan.

La reciente campaña de malware Kinsing es solo la última de una larga lista de ataques de botnets de cripto-minería que se han dirigido a instancias de Docker.

Tales ataques comenzaron por primera vez en la primavera de 2018. Agua y Sysdig fueron las primeras compañías en detectar ataques contra los sistemas Docker en ese momento.

Otros ataques y malware siguieron después de eso. Los informes que detallan otros ataques contra servidores Docker han sido detallados por Trend Micro (Octubre de 2018), Juniper Networks (Noviembre de 2018), Imperva (Marzo de 2019), Craze Micro y Nube Alibaba (Mayo de 2019), Pattern Micro nuevamente (junio de 2019), y Redes de Palo Alto (Octubre de 2019).



Enlace a la noticia original