Контейнеры занимаются майнингом без ведома администраторов: Dero проникает через Docker, а покидает систему с криптовалютой.

Киберпреступники проводят масштабную кампанию по заражению контейнерной инфраструктуры майнером Dero. По данным «Лаборатории Касперского», атаки используют открытые Docker API — часто незащищённые интерфейсы. Через них запускаются вредоносные контейнеры с криптомайнером и сетевым червём, способным автоматически искать новые цели.

Под удар попадают компании с недостаточным контролем безопасности контейнеров: разработчики ПО, облачные провайдеры, хостинги. С января по апрель 2025 года Shodan фиксировал в среднем 485 открытых Docker API в месяц, включая серверы в России.

Злоумышленники ищут доступные порты 2375, запускают контейнеры на базе Ubuntu и внедряют два компонента: cloud (майнер) и nginx (маскируется под веб-сервер и отвечает за распространение). Контейнеры действуют автономно, без командного центра, что упрощает распространение.

Вредоносные процессы скрываются под именами, имитирующими легитимные, что снижает шансы на их обнаружение.

Контейнеры — важный элемент современной инфраструктуры, особенно в DevOps и микросервисах. Это делает их приоритетной мишенью. Каждое заражение — потенциальная точка распространения угрозы внутри сети.

Рекомендуется:
— Проверить инфраструктуру на открытые API,
— Ограничить доступ или использовать защищённые протоколы,
— Внедрить средства раннего обнаружения атак и регулярного анализа безопасности.