Cryptojacking-worm infecteert meer dan 2000 systemen via Docker

Onderzoekers van Palo Alto Networks hebben een nieuwe cryptojacking-worm ontdekt die zich via Docker-images verspreidt. Dit meldt Unit 42, het cybersecurity-onderzoeksteam van het bedrijf.

De worm infecteert hosts met malware, die de systemen misbruikt om de monero-cryptovaluta te minen. Vervolgens verspreidt de malware zich naar willekeurige volgende doelwitten, die geselecteerd worden op kwetsbaarheid.

Nadat Unit 42 het bedrijf waarschuwde, verwijderde Docker de kwaadaardige images. Het onderzoek toont aan dat het beveiligen van containerhosts tegen cyberaanvallen belangrijker is dan ooit. Veel securitysoftware controleert containers namelijk niet op kwaadaardige code.

Verspreiding

Unit 42 stelt dat het de worm eind vorige maand ontdekte nadat de betreffende Docker-image bij een aantal onbeveiligde Docker-hosts verscheen. De onbeveiligde hosts zijn vindbaar door het gebruik van Shodan, een search engine voor het identificeren van bepaalde systemen op het internet.

Zodra de geïnfecteerde container image geïnstalleerd is, wordt er verbinding gemaakt met een Command & Control-server die verder op zoek gaat naar kwetsbare hosts. Er worden vervolgens willekeurig nieuwe doelen geselecteerd om de worm door te verspreiden.

Meer dan 2000 kwetsbare hosts zijn op die wijze getroffen. Unit 42 liet weten dat 57,4 procent van de IP-adressen uit China afkomstig waren, gevolgd door 13 procent uit de VS. Verder waren er gemiddeld ongeveer 900 miners tegelijkertijd actief.

Herhaling van zetten

The Next Web meldt dat Trend Micro en Imperva eerder al hebben ontdekt dat kwetsbare Docker-hosts een populair doelwit zijn voor cryptojacking-activiteiten. Bij de ontdekkingen van die bedrijven werd ook al gemeld dat Shodan werd gebruikt om potentiële slachtoffers te ontdekken en vervolgens dus te infecteren.

Soortgelijke gevallen van kwetsbare hosts zijn bovendien ontdekt op andere PaaS-systemen, waaronder Kubernetes, het open-source containerplatform dat oorspronkelijk door Google werd ontworpen. Het is dan ook van groot belang dat organisaties hun Docker-hosts en netwerkverkeer afdoende beveiligen, en geen Docker-images van onbekende bronnen gebruiken.