Die IT-Sicherheitsforscher von Sysdig haben eine Krypto-Miner-Kampagne beobachtet, die insbesondere auf kostenlose Test-Accounts von Cloud-Anbietern setzt. So kommen die Cyberkriminellen kostenfrei an Ressourcen zum Schürfen von Kryptowährungen. Aber auch weiterreichende Ziele könnten die Drahtzieher hinter der "Purple Urchin" (purpurner Schmutzfink) getauften Kampagne verfolgen. Kostenlose Entwicklerressourcen Cloud-Anbieter bieten zu Werbe- und Testzwecken in der Regel kostenlose Zugänge zu ihren Cloud-Ressourcen für Entwickler an. Zwar gibt es meist Begrenzungen, aber dennoch lassen sich so Container oder Betriebssystemabbilder starten und darin etwa Rechenzeit nutzen. Um sich vor Gaunern und Schnorrern zu schützen, versuchen die Anbieter, automatisierte Kontenerstellung zu unterbinden, etwa mit CAPTCHAs oder dem Erfordernis zum Hinterlegen von gültigen Kreditkarteninformationen. Die Cyberkriminellen hinter Purple Urchin haben jedoch dem zum Trotze Automatismen, mit denen ihnen massenhafte Account-Erstellung gelingt. Das Netzwerk aus solchen Krypto-Mining-Images verbindet sich dabei auf einen zentralen Command-and-Control-Server, erläutert Sysdig in einer ausführlichen Beschreibung. Die meisten virtuellen Maschinen liefen bei den Anbietern GitHub, Heroku und Buddy.works. Sysdig hat 30 GitHub-Konten, 2000 Heroku-Zugänge und 900 Buddy-Konten als Teil der Purple-Urchin-KAmpagne ausgemacht. Dabei würden immer wieder Konten gesperrt, aber die Drahtzieher würden beständig neue Konten aufmachen und diese wieder in das Krypto-Mining-Netz integrieren. Das Motiv hinter der Aktion ist ziemlich sicher Geld. Daher lassen die bösartigen Akteure so viele Krypto-Mining-Maschinen laufen wie möglich, mit großem Automatisierungsgrad. Durch den Missbrauch der kostenlosen Testangebote schieben sie die Kosten dazu auf die Anbieter ab. Allerdings könnten sie auch andere Ziele verfolgen. Motive der Cybergangster Derzeit schürfen die gefundenen Container nur Kryptowährungen mit geringen Gewinnmargen. Dies könne lediglich ein Testlauf sein, bevor sie auf wertvollere Kryptowährungen umsteigen, mutmaßt Sysdig. Es könne sich jedoch auch um Vorbereitungen zu Angriffen auf die darunterliegende Blockchain handeln, da das Schürf-Netz mehr als 51 Prozent der Proof-of-Work-Arbeit verrichten könnte. Damit ließen sich beliebige Transaktionen bezüglich der Krypto-Wallets der Cybergangster validieren. Es könne sich aber auch um eine Tarnung handeln, um von im Hintergrund laufenden Spionageaktivitäten abzulenken. Einige Details der Operation lassen darauf schließen, dass es sich um eine ausgeklügelte Kampagne handelt. So aktualisieren die Drahtzieher von den 130 Docker-Images immer nur zwei bis sechs zur Zeit, um nicht aufzufallen. Die GitHub-Repositories nutzen die Cyberkriminellen innerhalb von zwei Tagen nach der Erstellung zum Starten von Docker-Images. Hier war eine höhere Fluktuation zu beobachten. Sysdig schätzt, dass entweder die Freikontingente – es sind "nur" 33 Stunden Rechenzeit kostenlos – aufgebracht waren oder GitHub missbräuchliche Konten gesperrt hat. Eine Schätzung der Schadenssumme geht auf rund 103.000 US-Dollar alleine für GitHub, erörtert Sysdig. In der Analyse von Sysdig erörtern die IT-Forscher noch technische Details zu den unterschiedlichen Containern, ihren genauen Einsatzzwecken oder zu genutzten VPN-Verbindungen. Dort finden sich auch Indizien für bösartige Aktivitäten, etwa Github-Nutzernamen, dabei aufgetauchte Krypto-Wallets sowie IP-Adressen der Command-and-Control-Server. Auch wenn einzelne betrügerisch genutzte virtuelle Maschinen den Anbieter nicht viel kosten und den Cyberkriminellen nicht viel einbringen, ändert sich das mit der Skalierung auf mehrere tausend Maschinen. Krypto-Mining bleibt damit nach wie vor einer der wichtigsten Nutzungszwecke von Cloud-Einbrechern. Google hat deshalb beispielsweise einen Krypto-Miner-Schutz für seine Cloud-Angebote eingeführt. (dmk) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Die IT-Sicherheitsforscher von Sysdig haben eine Krypto-Miner-Kampagne beobachtet, die insbesondere auf kostenlose Test-Accounts von Cloud-Anbietern setzt. So kommen die Cyberkriminellen kostenfrei an Ressourcen zum Schürfen von Kryptowährungen. Aber auch weiterreichende Ziele könnten die Drahtzieher hinter der "Purple Urchin" (purpurner Schmutzfink) getauften Kampagne verfolgen. Kostenlose Entwicklerressourcen Cloud-Anbieter bieten zu Werbe- und Testzwecken in der Regel kostenlose Zugänge zu ihren Cloud-Ressourcen für Entwickler an. Zwar gibt es meist Begrenzungen, aber dennoch lassen sich so Container oder Betriebssystemabbilder starten und darin etwa Rechenzeit nutzen. Um sich vor Gaunern und Schnorrern zu schützen, versuchen die Anbieter, automatisierte Kontenerstellung zu unterbinden, etwa mit CAPTCHAs oder dem Erfordernis zum Hinterlegen von gültigen Kreditkarteninformationen. Die Cyberkriminellen hinter Purple Urchin haben jedoch dem zum Trotze Automatismen, mit denen ihnen massenhafte Account-Erstellung gelingt. Das Netzwerk aus solchen Krypto-Mining-Images verbindet sich dabei auf einen zentralen Command-and-Control-Server, erläutert Sysdig in einer ausführlichen Beschreibung. Die meisten virtuellen Maschinen liefen bei den Anbietern GitHub, Heroku und Buddy.works. Sysdig hat 30 GitHub-Konten, 2000 Heroku-Zugänge und 900 Buddy-Konten als Teil der Purple-Urchin-KAmpagne ausgemacht. Dabei würden immer wieder Konten gesperrt, aber die Drahtzieher würden beständig neue Konten aufmachen und diese wieder in das Krypto-Mining-Netz integrieren. Das Motiv hinter der Aktion ist ziemlich sicher Geld. Daher lassen die bösartigen Akteure so viele Krypto-Mining-Maschinen laufen wie möglich, mit großem Automatisierungsgrad. Durch den Missbrauch der kostenlosen Testangebote schieben sie die Kosten dazu auf die Anbieter ab. Allerdings könnten sie auch andere Ziele verfolgen. Motive der Cybergangster Derzeit schürfen die gefundenen Container nur Kryptowährungen mit geringen Gewinnmargen. Dies könne lediglich ein Testlauf sein, bevor sie auf wertvollere Kryptowährungen umsteigen, mutmaßt Sysdig. Es könne sich jedoch auch um Vorbereitungen zu Angriffen auf die darunterliegende Blockchain handeln, da das Schürf-Netz mehr als 51 Prozent der Proof-of-Work-Arbeit verrichten könnte. Damit ließen sich beliebige Transaktionen bezüglich der Krypto-Wallets der Cybergangster validieren. Es könne sich aber auch um eine Tarnung handeln, um von im Hintergrund laufenden Spionageaktivitäten abzulenken. Einige Details der Operation lassen darauf schließen, dass es sich um eine ausgeklügelte Kampagne handelt. So aktualisieren die Drahtzieher von den 130 Docker-Images immer nur zwei bis sechs zur Zeit, um nicht aufzufallen. Die GitHub-Repositories nutzen die Cyberkriminellen innerhalb von zwei Tagen nach der Erstellung zum Starten von Docker-Images. Hier war eine höhere Fluktuation zu beobachten. Sysdig schätzt, dass entweder die Freikontingente – es sind "nur" 33 Stunden Rechenzeit kostenlos – aufgebracht waren oder GitHub missbräuchliche Konten gesperrt hat. Eine Schätzung der Schadenssumme geht auf rund 103.000 US-Dollar alleine für GitHub, erörtert Sysdig. In der Analyse von Sysdig erörtern die IT-Forscher noch technische Details zu den unterschiedlichen Containern, ihren genauen Einsatzzwecken oder zu genutzten VPN-Verbindungen. Dort finden sich auch Indizien für bösartige Aktivitäten, etwa Github-Nutzernamen, dabei aufgetauchte Krypto-Wallets sowie IP-Adressen der Command-and-Control-Server. Auch wenn einzelne betrügerisch genutzte virtuelle Maschinen den Anbieter nicht viel kosten und den Cyberkriminellen nicht viel einbringen, ändert sich das mit der Skalierung auf mehrere tausend Maschinen. Krypto-Mining bleibt damit nach wie vor einer der wichtigsten Nutzungszwecke von Cloud-Einbrechern. Google hat deshalb beispielsweise einen Krypto-Miner-Schutz für seine Cloud-Angebote eingeführt. (dmk) Zur Startseite