L’hanno chiamato Graboid, in tributo al film horror degli anni Novanta “Tremors”, perché al pari dei dei vermi della sabbia protagonisti della pellicola anche questa minaccia informatica sa muoversi molto velocemente per brevi tratti. Graboid, così battezzato dai ricercatori di Palo Alto Networks (il team Unit 42), è un worm di cryptojacking ed è responsabile dell’infezione di oltre duemila host Docker non protetti.
Si tratta, infatti, del primo worm di cryptojacking (o almeno del primo mai scoperto) capace di diffondersi atttraverso i container eseguiti sul Docker Engine Community Edition. Il suo scopo è quello di fare mining di Monero, una tra le più popolari criptovalute, dopo essersi installato in un host vulnerabile a partire da un server Command&Control. Stando alle analisi del team di ricercatori Unit 42, il miner è attivo in media il 63% del tempo e ogni lavoro di “estrazione” di criptovaluta dura 250 secondi.
Accorgersi di Graboid non è stato semplice, dato che la maggior parte dei software antivirus tradizionali non analizza i dati e le attività presenti nei container. L’autore o gli autori di questo worm si sono serviti di processi daemon Docker non protetti, in cui è stata inserita un’immagine Docker destinata a essere eseguita sull’host compromesso.
Il Paese più colpito è di gran lunga la Cina, dove risiede oltre il 57% degli host vulnerabili scoperti, mentre a distanza si collocano gli Stati Uniti (17%), Canada, India e una manciata di Paesi Europei (Irlanda, Francia, Olanda, Germania). La buona notizia è che, una volta allertati del problema, gli ingegneri di Docker hanno collaborato con i ricercatori di Palo Alto per rimuovere le immagini pericolose.