Une machine virtuelle AWS est infectée par un malware de minage. Il pourrait y en avoir d'autres.

Une entreprise de cybersécurité a découvert un script de minage de Monero intégré dans une instance publique d'une machine virtuelle Amazon Web Service (AWS). L'entreprise se demande désormais combien d'autres instances Amazon Machine Instances (AMI) communautaires sont infectées par le même malware.

Les chercheurs deMitiga Un article de blog publié vendredi a révélé qu'une AMI AWS pour un serveur virtuel Windows 2008 hébergé par un fournisseur non vérifié était infectée par un script de minage Monero . Le logiciel malveillant aurait infecté tout appareil exécutant l'AMI afin d'exploiter sa puissance de traitement pour miner la cryptomonnaie Politique de confidentialité . Moneroen arrière-plan – une attaque de malware devenue trop courante dans le Far West numérique de la cryptographie.

« L'équipe de recherche en sécurité de Mitiga a identifié une AMI de la communauté AWS contenant du code malveillant exécutant un mineur de Crypto (Monero) non identifié. Nous craignons qu'il ne s'agisse d'un phénomène réel plutôt que d'un incident isolé », peut-on lire dans le billet de blog.

Monero rencontre AMI

Les entreprises et autres entités utilisent Amazon Web Services pour créer des instances « EC2 » de programmes et services populaires. Également appelées machines virtuelles, ces instances EC2 sont développées par des tiers et déployées sous licence.Instance de machine AmazonLes entreprises exploitent ces services pour réduire les coûts de puissance de calcul de leurs opérations. Les utilisateurs d'AWS peuvent se procurer ces services auprès des AMI Amazon Marketplace, des fournisseurs vérifiés par Amazon, ou des AMI communautaires, non vérifiées.

Sur le même sujet : BlackBerry et Intel luttent contre les logiciels malveillants de cryptojacking avec un nouvel outil de détection

Mitiga a découvert ce script Monero dans une AMI communautaire pour un serveur Windows 2008 lors d'un audit de sécurité pour une société de services financiers. Son analyse a conclu que l'AMI avait été créée dans le seul but d'infecter les appareils avec le logiciel malveillant de minage, car le script était inclus dans le code de l'AMI dès le ONE.

En dehors de la société de services financiers qui a engagé Mitiga pour examiner l'AMI, la société de cybersécurité ne sait pas combien d'autres entités et appareils peuvent être infectés par le logiciel malveillant.

« Quant à savoir comment Amazon permet que cela se produise, eh bien, c'est la plus grande question qui découle de cette À découvrir, mais c'est une question qui devrait également être adressée à l'équipe Comms d'AWS (sic) », a déclaré l'équipe à CoinDesk par courrier électronique.

CoinDesk a contacté Amazon Web Services pour en Guides plus sur son approche de gestion des éditeurs AMI non vérifiés, mais un représentant d'Amazon Web Services a refusé de commenter. documentation inclut la mise en garde selon laquelle les utilisateurs choisissent d'utiliser les AMI communautaires « à leurs propres risques » et qu'Amazon « ne peut T garantir l'intégrité ou la sécurité de [ces] AMI ».

Un événement ponctuel ou ONE tant d'autres ?

La principale inquiétude de Mitiga est que ce malware pourrait être ONEun des nombreux bugs présents dans les AMI non vérifiées. Le fait qu'Amazon ne fournisse pas de données transparentes sur l'utilisation d'AWS exacerbe cette inquiétude, a déclaré l'entreprise à CoinDesk.

L'utilisation des clients AWS étant obscurcie, nous ne pouvons T déterminer l'ampleur de ce phénomène sans une enquête interne d'AWS. Nous pensons cependant que le risque potentiel est suffisamment élevé pour émettre un avis de sécurité à tous les clients AWS utilisant les AMI communautaires.

Sur le même sujet : La Corée du Nord étend ses opérations d'extraction de Monero , selon un rapport

Mitiga recommande à toute entité gérant une AMI communautaire de la résilier immédiatement et de rechercher une solution de remplacement auprès d'un fournisseur de confiance. À tout le moins, les entreprises qui utilisent AWS devraient examiner attentivement le code avant d'intégrer des AMI non vérifiées à leur logique métier.

Les logiciels malveillants de minage pourraient en réalité être la forme d'infection la plus inoffensive qu'une entreprise puisse subir, poursuit l'entreprise dans son article. Le pire scénario serait qu'une AMI installe une porte dérobée sur l'ordinateur d'une entreprise ou qu'un rançongiciel chiffre les fichiers de l'entreprise dans le but de lui extorquer de l'argent pour en récupérer l'accès.

Cette attaque est la dernière en date d'une tendance dite de « crypto-jacking ». Monero est la monnaie de prédilection des attaquants grâce à son algorithme de minage, qui peut être exécuté facilement grâce au processeur et au processeur graphique d'un ordinateur. Lorsque les attaquants infectent suffisamment d'ordinateurs et mutualisent leurs ressources, la puissance de hachage collective est suffisante pour leur permettre de remporter un joli pactole.

Si les craintes de Mitiga sont fondées, d’autres AMI peuvent avoir infecté les appareils des utilisateurs avec des scripts de minage de Monero et être passés inaperçus.