Una máquina virtual de AWS está infectada con malware de minería. Podría haber otras.

Una empresa de ciberseguridad ha descubierto un script de minería de Monero incrustado en una instancia pública de una máquina virtual de Amazon Web Service (AWS). Ahora, la empresa plantea la pregunta: ¿Cuántas otras instancias de Amazon Machine (AMI) comunitarias están infectadas con el mismo malware?

Investigadores deMitiga El viernes, una publicación de blog reveló que una AMI de AWS para un servidor virtual de Windows 2008 alojada por un proveedor no verificado está infectada con un script de minería de Monero . El malware habría infectado cualquier dispositivo que ejecute la AMI con el fin de usar su capacidad de procesamiento para minar la criptomoneda Privacidad . MoneroEn segundo plano, un ataque de malware que se ha vuelto demasiado común en el salvaje oeste digital de las criptomonedas.

El equipo de investigación de seguridad de Mitiga ha identificado una AMI de la Comunidad AWS que contiene código malicioso que ejecuta un minero de Cripto (Monero) no identificado. Nos preocupa que esto pueda ser un fenómeno, y no un hecho aislado, dice la entrada del blog.

Monero se encuentra con AMI

Las empresas y otras entidades utilizan Amazon Web Services para crear las llamadas instancias "EC2" de programas y servicios populares. También conocidas como máquinas virtuales, estas EC2 son desarrolladas por terceros y se implementan bajo la...Instancia de máquina de AmazonLas empresas aprovechan estos servicios para reducir los costos de computación en sus operaciones comerciales. Los usuarios de AWS pueden obtener estos servicios de las AMI de Amazon Marketplace, que son proveedores verificados por Amazon, o de las AMI de la comunidad, que no están verificadas.

Sigue leyendo: BlackBerry e Intel combaten el malware de criptojacking con una nueva herramienta de detección

Mitiga descubrió este script de Monero en una AMI comunitaria para un servidor Windows 2008 mientras realizaba una auditoría de seguridad para una empresa de servicios financieros. En su análisis, Mitiga concluyó que la AMI se creó con el único propósito de infectar dispositivos con el malware de minería, ya que el script estaba incluido en el código de la AMI desde el ONE día.

Además de la empresa de servicios financieros que contrató a Mitiga para revisar el AMI, la firma de ciberseguridad desconoce cuántas otras entidades y dispositivos pueden estar infectados con el malware.

"En cuanto a cómo Amazon permite que esto suceda, bueno, esta es la pregunta más importante que surge de este Explora, pero es una pregunta que también debe dirigirse al equipo de comunicaciones de AWS (sic)", dijo el equipo a CoinDesk por correo electrónico.

CoinDesk contactó a Amazon Web Services para Aprende más información sobre su enfoque para gestionar a los editores de AMI no verificados, pero un representante se negó a hacer comentarios. Amazon Web Service documentación incluye la advertencia de que los usuarios eligen utilizar las AMI de la comunidad "bajo su propio riesgo" y que Amazon "no puede garantizar la integridad o seguridad de [estas] AMI".

¿Un acontecimiento único o ONE de muchos?

La principal preocupación de Mitiga es que este malware podría ser ONE de los varios errores que se propagan en AMIs no verificadas. El hecho de que Amazon no proporcione información transparente sobre el uso de AWS agrava esta preocupación, según declaró la empresa a CoinDesk.

Dado que el uso de AWS por parte de los clientes está ofuscado, no podemos determinar la magnitud de este fenómeno sin la propia investigación de AWS. Sin embargo, creemos que el riesgo potencial es lo suficientemente alto como para emitir un aviso de seguridad a todos los clientes de AWS que utilizan las AMI de la comunidad.

Sigue leyendo: Corea del Norte está expandiendo sus operaciones de minería de Monero , según un informe

Mitiga recomienda que cualquier entidad que opere una AMI comunitaria la cancele inmediatamente y busque un reemplazo de un proveedor confiable. Como mínimo, las empresas que dependen de AWS deberían revisar minuciosamente el código antes de integrar AMI no verificadas en su lógica de negocio.

El malware de minería podría ser, de hecho, la forma más inocua de infección que una empresa puede experimentar, continuó la empresa en la publicación. El peor escenario posible incluye una AMI que instala una puerta trasera en el ordenador de una empresa o un ransomware que cifra los archivos de la empresa con el objetivo de extorsionarla para recuperar el acceso.

Este ataque es el más reciente de una tendencia de los llamados ataques de "criptojacking". Monero es la moneda predilecta de los atacantes gracias a su algoritmo de minería, que se ejecuta fácilmente con la CPU y la GPU de un ordenador. Cuando los atacantes infectan suficientes ordenadores y comparten sus recursos, la potencia de hash colectiva es suficiente para obtener una buena recompensa.

Si los temores de Mitiga son ciertos, es posible que otras AMI hayan infectado dispositivos de usuarios con scripts de minería de Monero y hayan pasado desapercibidas.