За последние несколько лет, инфраструктура облачных технологий сильно развивается и многие компании предлагают Вам перенести в облако практически все, что имеется у вас, тем самым якобы избавляют вас от ненужных хлопот по поддержанию дорогостоящего оборудования и содержанию целых ИТ служб. Все это привело к большому количеству некорректно настроенных и открытых программных стеков. Это привлекло злоумышленников, которые стали производить сложные атаки, благодаря которым уничтожаются данные или происходит злоупотребление ресурсами серверов, например для майнинга криптовалюты.

В новом отчете, опубликованном сегодня, исследователи безопасности из Securonix предупреждают об увеличении количества "автоматических" атак на облачную инфраструктуру за последние несколько месяцев. Они часто объединяют в себе криптомайнинг , вымогателей и вредоносные программы ботнетов.

«В большинстве случаев атаки направлены на установку полезной нагрузки второго уровня для криптомайнинга и/или удаленного доступа», - говорят исследователи. «В других случаях вредоносное ПО распространяет и заражает открытые сервисы, удаляет данные или шифруют полезные данные для дальнейшего вымогательства».

Злоумышленники часто используют незакрытые уязвимости или небезопасные конфигурации в различных службах. Они также запускают брутфорс атаки для подбора паролей на огромное количество сервисов, включая MySQL, MongoDB, Memcached, CouchDB, PostgreSQL, Oracle Database, ElasticSearch, RDP, VNC, Telnet, RSync, RLogin, FTP, LDAP и многие другие.

Одним из наиболее часто используемых вредоносных инструментов для проведения атак на облачные сервисы, является червь XBash, который впервые появился в мае 2018 года. Это вредоносное ПО используется для заражения серверов Windows и Linux и развертывания дополнительных полезных нагрузок в зависимости от того, какая ОС работает.

XBash обычно ассоциируется с киберпреступной группой, известной в индустрии безопасности как Iron. Однако другая группа под названием Rocke также использует вариант XBash и недавно была в новостях после того, как начала отключать облачную безопасность и агентов мониторинга.

В некоторых случаях, например после получения доступа к базе данных или хранилищу данных, вредоносная программа удаляет ее и оставляет "записку" с требованием выкупа. Это по своей сути, является разрушительной атакой, так как она только имитирует вымогателей, на самом же деле резервное копирование данных не выполняется и злоумышленники уже никак не смогут помочь восстановить их, даже если выкуп выплачивается сполна.