Nieuwe malware maakt gebruik van serverless-functies van AWS Lambda om cryptomunten te minen. Hoe de malware geïnstalleerd wordt, is onduidelijk.
Beveiligingsbedrijf Cado Security ontdekte een nieuwe vorm van malware. Die is speciaal ontwikkeld als serverless-functie voor AWS Lambda. De malware, die de naam Denonia meekreeg, wordt voorlopig exclusief ingezet op cryptocurrency te minen.
De beveiligingsexperts weten niet hoe criminelen Denonia uitrollen. Vermoedelijk richten ze zich op slachtoffers waarvan de cloudomgeving onvoldoende is beveiligd. Zo kunnen hackers bijvoorbeeld via gestolen inloggegevens toegang krijgen tot de serverless-infrastructuur om zo de malafide functie uit te rollen.
Cloud native malware
De malware valt op omdat hij zo specifiek geoptimaliseerd is voor de cloud. Bovendien is kwaadaardige serverless-software gevaarlijk voor de rekening van het slachtoffer. Lambda-functies zijn immers gebouwd om heel schaalbaar te zijn. Heeft een functie weinig tot geen resources nodig, dan betaal je als gebruiker heel weinig. Wanneer de vraag naar de functie stijgt, wijst AWS meteen de nodige systeembronnen toe om vertraging bij gebruikers te voorkomen. Lamba-functies kunnen zo heel snel heel veel hardware consumeren om aan een piekvraag te voldoen. Daar kan Denonia van profiteren door zichzelf heel wat cloudresources toe te eigenen om cryptomunten te minen.
De verantwoordelijkheid voor de bescherming ligt in dit geval bij de klant. Het lijkt er niet op dat Denonia een kwetsbaarheid bij AWS zelf uitbuit. AWS-klanten zijn zelf verantwoordelijk voor welke workloads ze draaien, en moeten hun cloudomgeving zelf goed beveiligen met de juiste configuratie-instellingen en best-practices. Cado Security stelt nog vast dat Denonia ook buiten Lambda in een Linux-omgeving kan functioneren.