Cybercriminelen kunnen de internettoegang van nietsvermoedende gebruikers kapen en doorverkopen. Door bandbreedte van de gebruikers beschikbaar te stellen voor proxyware-diensten zijn criminelen in staat om tot 10 dollar (iets meer dan 9 euro) per aangetast apparaat per maand te verdienen. Securityleverancier Sysdig waarschuwt bedrijven voor de risico’s.
Het Threat Research Team van Sysdig ontdekte een exploitatie van de zwakheden van een verouderde versie van Log4j. Normaal gesproken starten aanvallers bijvoorbeeld een cryptomining-applicatie die draait op de CPU van de getroffen pc. In plaats van het stelen van CPU-cycli voor mining werd in dit geval dus de netwerktoegang deels overgenomen. De bandbreedte kan bij een proxyjacking-aanval ongemerkt verkocht worden aan proxyware-diensten, die per IP-adres een maandbedrag betalen. Vervolgens kan een ander dit IP-adres gebruiken, met alle gevolgen van dien. Sysdig waarschuwt voor de financiële en juridische kosten die mogelijk gepaard gaan met een proxyjacking-aanval. In een extreem geval kan een slachtoffer worden verdacht van een illegale activiteit die een crimineel via de proxyware-dienst ergens anders heeft uitgevoerd.
Lucratieve tactiek
Gebruikers die hun internetverbinding willen delen, kunnen van een proxyware-dienst gebruikmaken. Zo kan men een tientje per maand verdienen. Sysdig heeft een aantal van deze bedrijven onder de loep genomen. Het onderzoeksteam kwam tot de conclusie dat de claims van bijvoorbeeld ‘ethisch verworven IP-adressen’ van deze bedrijven niet houdbaar zijn. Zo controleren Pawns en IPRoyal alleen of de potentiële aanbieder niet een cloudverbinding probeert door te verkopen. De slachtoffers van proxyjackers blijven onbeschermd omdat ze op het oog een ‘normaal’ IP-adres hebben.
Sysdig heeft berekend dat er meer dan 23.000 systemen online zijn die nog een kwetsbare versie van Log4j gebruiken. De exploitatie die Sysdig detecteerde zou daarom dus meer dan 220.000 dollar per maand op kunnen leveren voor proxyjackers. Het securitybedrijf schat echter in dat een passief inkomen van 1000 dollar per maand realistischer is, als een crimineel 100 IP-adressen weet te treffen met een aanval.
Een proxyjacking-aanval kan ook plaatsvinden op een andere manier dan het benutten van Log4j-zwaktes. Sysdig adviseert bedrijven om maatregelen te nemen door limieten te stellen aan de maandelijkse internetbandbreedte of een alert vanaf een bepaald maandverbruik. Hoewel het gebruik van proxyware-diensten nu nog beperkt is, voorziet de securityleverancier een toename op termijn.
6 uur geleden
