Primeiro malware que visa contêineres do Windows para comprometer nuvem é descoberto

A Palo Alto Networks divulgou, através da Unit 42, grupo de consultoria em cibersegurança da companhia, a descoberta do primeiro malware voltado para contêineres do Windows. O malware foi nomeado de Siloscape (ou “escape de silo”), em referência ao seu método de escapar do contêiner – que, no Windows, é realizado principalmente por um silo de servidor.

O Siloscape foi considerado um malware “extremamente furtivo” e capaz de atingir clusters do Kubernetes por meio de contêineres do Windows. Seu principal objetivo é abrir um backdoor em clusters do Kubernetes mal configurados para executar contêineres maliciosos.

Segundo a companhia, comprometer um cluster inteiro é muito mais grave do que comprometer um contêiner individual, uma vez que um cluster pode executar várias aplicações em nuvem, enquanto um contêiner individual geralmente executa um único aplicativo em nuvem. 

Ao comprometer um cluster, o invasor pode ser capaz de roubar informações críticas, como nomes de usuário e senhas, arquivos confidenciais e internos de uma organização ou mesmo bancos de dados inteiros hospedados. Esse tipo de ataque também pode ser aproveitado como um ataque de ransomware, tornando os arquivos da organização como reféns.

O Siloscape usa o proxy Tor e um domínio .onion para se conectar anonimamente ao seu servidor de comando e controle (C2). Os pesquisadores da Unit 42 conseguiram obter acesso a este servidor. Foram identificados 23 vítimas ativas do Siloscape e descoberto que o servidor estava sendo usado para hospedar 313 usuários no total, sugerindo que o Siloscape era uma pequena parte de uma campanha mais ampla. Também foi identificado que essa campanha já acontece há mais de um ano.

Até a descoberta, a Unit 42 tinha monitorado apenas casos de malware direcionados a contêineres no Linux – devido à popularidade desse sistema operacional em ambientes de nuvem. A unidade, no entanto, espera ver mais malwares visando contêineres do Windows, uma vez que o sistema operacional está cada vez mais popular em ambientes de contêiner.

A descoberta também aponta para uma “transformação digital” hackers, de acordo com a companhia, que também estão se atualizando para explorar enorme mudança corporativa para a nuvem e novas tecnologias, como contêineres.

A Unit 42 observou o primeiro malware visando contêineres há menos de dois anos – usado principalmente para ataques de criptojacking. Segundo a Palo Alto Networks, agora são vistos “regularmente” novos tipos de malware de contêiner, sendo o mais recente o Siloscape.