Alcuni ricercatori di sicurezza informatica hanno identificato un'ambiziosa campagna di hacking che infetta ogni giorno migliaia di server Docker con un miner di Bitcoin (BTC).

In un report della scorsa settimana, Aqua Security ha segnalato la presenza di un nuovo pericoloso malware. Pare che la campagna "vada avanti da mesi, con migliaia di tentativi che hanno luogo quasi ogni giorno."

Aqua Security ha scoperto che si tratta di un agente Linux basato su Golang, conosciuto con il nome di Kinsing. Il malware si propaga sfruttando configurazioni errate delle porte API di Docker. Successivamente esegue un contenitore Ubuntu, che scarica Kinsing e tenta di spargere il virus verso ulteriori host.

I ricercatori affermano:

"Questi sono i numeri più altri che vediamo da parecchio tempo, superano di gran lunga tutto il resto."

La portata dell'attacco indica che non si tratta di una campagna improvvisata, bensì di un'iniziativa su larga scala organizzata contando su risorse e infrastrutture significative.

Volumi di attacco di Kingsing, da dicembre 2019 a marzo 2020

Volumi di attacco di Kingsing, da dicembre 2019 a marzo 2020. Fonte: Aqua Security blog

L'obiettivo finale della campagna è quello di installare un miner di criptovalute all'interno dell'host compromesso.

Grafico mostra il modus operandi di Kinsing

Grafico mostra il modus operandi di Kinsing. Fonte: Aqua Security blog

Attacchi hacker sempre più sofisticati

Aqua Security sottolinea che gli attacchi hacker si fanno sempre più sofisticati e ambiziosi: gli esperti di sicurezza delle aziende dovrebbero pertanto sviluppare strategie più robuste per ridurre al minimo i rischi.

Aqua consiglia ad esempio di identificare tutte le risorse cloud e di raggrupparle in una struttura logica, rivedendo i loro privilegi di autorizzazione e autenticazione.

I team di sicurezza dovrebbero anche esaminare i log per individuare eventuali azioni anomale da parte degli utenti, nonché implementare strumenti cloud volti a rafforzare la sicurezza dell'ecosistema.