Die Sicherheitsspezialisten von Radware warnen vor aktuellen Aktivitäten der chinesischen 8220 Gang festgestellt, die aus finanziellen Motiven insbesondere schlecht gesicherte Public-Cloud-Umgebungen attackiert. Dabei setzt sie einen Krypto Miner ein, um auf Kosten ihrer Opfer Kryptowährungen zu schürfen. Dies kann insbesondere in elastischen Umgebungen zu erheblichen Mehrbelastungen führen, da hier die zu bezahlenden Ressourcen dynamisch an den Bedarf angepasst werden. Seit ihrem ersten Auftreten im Jahr 2017 hat die 8220 Gang ihre Taktiken und Strategien zur Umgehung von Sicherheitsmaßnahmen laut Radware stetig weiterentwickelt, konnte aber dennoch in einem von Radwares Redis-Honeypots erkannt werden. Laut Radware Threat Report 2022 war Redis im vergangenen Jahr auf Platz 4 der am häufigsten gescannten und ausgenutzten TCP-Ports – nach Platz 10 im Jahr 2021.
Laut Radware ist Redis ein Dienst, der geschützt und vom Internet ferngehalten werden sollte, wenn er nicht benötigt wird, da er sich in der kriminellen Gemeinschaft großer Beliebtheit erfreut. Das Hauptziel der 8220er-Bande besteht darin, darüber mit Hilfe eines speziell geschaffenen Tsunami IRC-Bots und eines Krypto-Miners in schwach geschützte Cloud-Server einzudringen und deren Ressourcen für sich zu nutzen. Darüber hinaus kann sie Systeme weiteren Sicherheitsrisiken aussetzen, und sobald diese infiziert sind, können die Angreifer denselben Zugang nutzen, um andere Arten von Malware zu installieren. Dazu gehören Keylogger und Tools für den Fernzugriff, die dann genutzt werden können, um sensible Informationen zu stehlen, sich unbefugten Zugriff auf sensible Daten zu verschaffen, DDoS-Angriffe zu starten oder Ransomware und Wiper zu installieren
Daniel Smith, Cyber Threat Intelligence Research Head bei Radware, sorgt sich vor allem darüber, dass wegen mangelnder Sicherheitshygiene auch relativ gering qualifizierte Gruppen wie die 8220 Gang in der Lage sind, erhebliche Schäden in Public Clouds anzurichten. „Die Bedrohung durch Cloud-Umgebungen und unsichere Anwendungen stellt weiterhin ein Risiko für Unternehmen auf der ganzen Welt dar, insbesondere für solche, die schwache Anmeldeinformationen verwenden oder Schwachstellen nicht sofort patchen“, so Smith.
Radware empfiehlt in seinem Threat Advisory zur neuen Kampagne der 8220 Gang, auch in der Public Cloud zu sorgen Transparenz und Visibility einen hohen Stellenwert einzuräumen. Dies sei umso wichtiger, als Public-Cloud-Anbieter oft nur eingeschränkte Sicherheitsmaßnahmen anböten, so dass Schwachstellen manchmal leicht zu finden und auszunutzen seien.
