Penjahat dunia maya telah mulai menargetkan server yang berjalan di Alibaba Cloud (terbuka di tab baru) dalam upaya menggunakannya untuk menambang cryptocurrency (terbuka di tab baru).
Cryptojacking (terbuka di tab baru)di mana penyerang mengambil alih server organisasi untuk menambang cryptocurrency, bukanlah hal baru tetapi Trend Micro telah memperhatikan bahwa penjahat dunia maya semakin menargetkan infrastruktur cloud Alibaba untuk menambang Monero (terbuka di tab baru) karena tidak dapat dilacak.
Mesin virtual Alibaba Elastic Computing Service (ECS) memiliki nilai khusus bagi penjahat dunia maya karena memiliki fitur penskalaan otomatis yang memungkinkan layanan menyesuaikan sumber daya komputasi secara otomatis berdasarkan volume permintaan pengguna menurut laporan baru (terbuka di tab baru) dari perusahaan keamanan siber. Meskipun fitur ini diberikan kepada pelanggan Alibaba tanpa biaya tambahan, peningkatan penggunaan sumber daya pada akhirnya menimbulkan biaya tambahan bagi pelanggannya.
Lanskap cryptojacking dibagikan oleh banyak aktor ancaman termasuk Kinsing dan TeamTNT (terbuka di tab baru) meskipun kode mereka memiliki karakteristik yang sama seperti kemampuan untuk menghapus aktor pesaing yang juga menambang cryptocurrency dan untuk menonaktifkan fitur keamanan yang ditemukan di mesin korban.
Menargetkan instans Alibaba ECS
Instans ECS Alibaba hadir dengan agen keamanan yang sudah diinstal sebelumnya yang sering coba dinonaktifkan oleh penjahat dunia maya setelah mendapatkan akses ke server pelanggan.
Selama penyelidikan baru-baru ini, Trend Micro menemukan kode khusus di malware tersebut (terbuka di tab baru) digunakan oleh penyerang untuk membuat firewall (terbuka di tab baru) aturan untuk menjatuhkan paket masuk dari rentang IP milik zona dan wilayah Alibaba internal. Pada saat yang sama, instans ECS Alibaba default menyediakan akses root yang memudahkan penjahat dunia maya menggunakan server cloud mereka untuk cryptojacking.
Dengan hak istimewa setinggi mungkin yang sudah tersedia setelah kompromi, penyerang dapat menerapkan muatan lanjutan seperti rootkit modul kernel dan mencapai persistensi pada instans ECS Alibaba korban. Ini bisa menjadi salah satu alasan penjahat dunia maya mulai secara khusus menargetkan layanan komputasi awan perusahaan China tersebut dibandingkan pesaing seperti AWS (terbuka di tab baru) atau Microsoft Azure (terbuka di tab baru).
Untuk organisasi yang menggunakan Alibaba Cloud, Trend Micro merekomendasikan agar mereka mempraktikkan model tanggung jawab bersama di mana CSP dan pengguna memiliki tanggung jawab untuk memastikan konfigurasi keamanan beban kerja, proyek, dan lingkungan, menyesuaikan fitur keamanan proyek dan beban kerja cloud, serta mengikuti prinsip paling tidak hak istimewa (terbuka di tab baru) di mana jumlah pengguna dengan hak akses tertinggi dibatasi.
Lihat juga perangkat lunak perlindungan titik akhir terbaik (terbuka di tab baru), firewall awan terbaik (terbuka di tab baru) dan perangkat lunak penghapus malware terbaik (terbuka di tab baru)
