Il cryptojacking (o cryptomining) è una tecnica che consente di sfruttare le risorse hardware per generare monete digitali all’insaputa della vittima. L’evoluzione più recente sfrutta le risorse cloud per ottenere maggiori profitti in meno tempo. Microsoft ha scoperto diversi attacchi cloud cryptojacking e descritto il funzionamento, mettendo in guardia le aziende.
Cloud cryptojacking: mining con macchine virtuali
L’attacco inizia con il furto delle credenziali di accesso all’istanza cloud. I cybercriminali ottengono le credenziali principalmente tramite phishing, data breach e device on-premise compromessi. Per accedere alle macchine virtuali occorrono i privilegi di amministratore. Se le credenziali appartengono ad un account con meno privilegi viene effettuata la classica escalation. Microsoft ha notato che, in quasi tutti i casi, non era stata attivata l’autenticazione multi-fattore.
Dopo aver ottenuto l’accesso, i cybercriminali eseguono una subscription hijacking, ovvero la migrazione dell’istanza cloud della vittima in un’altra istanza sotto il loro controllo, lasciando gli stessi dettagli di fatturazione (ovviamente). Successivamente possono incrementare la “core quota”, ovvero le risorse hardware associate all’istanza, principalmente le GPU, in quanto velocizzano il mining.
Infine, i cybercriminali installano il software di mining in ogni macchina virtuale. Ciò avviene tramite noti protocolli, come RDP e SSH. Le macchine virtuali sono quindi aggiunte al mining pool che permette di sfruttare contemporaneamente le risorse hardware delle istanze.
Microsoft suggerisce una separazione dei ruoli con privilegi elevati, l’attivazione dell’autenticazione multi-fattore e il monitoraggio delle risorse assegnate ad ogni macchina virtuale. Microsoft Defender for Cloud può rilevare e bloccare diverse attività sospette.