Hackers usam contas do Google Cloud para minerar criptomoeda

Da Redação
30/11/2021

Operadores de ameaças estão explorando instâncias do Google Cloud Platform (GCP) protegidas incorretamente para fazer download de software de mineração de criptomoedas para os sistemas comprometidos, bem como explorando sua infraestrutura para instalar ransomware, organizar campanhas de phishing e até mesmo gerar tráfego para vídeos do YouTube para manipulação da contagem de visualizações.

“Embora os clientes do serviço de nuvem continuem enfrentando uma variedade de ameaças em aplicativos e infraestrutura, muitos ataques bem-sucedidos se devem à falta de ‘higienização de sistemas’ e de implementação de controles básicos”, disse a Equipe de Ação de Segurança Cibernética (CAT) do Google como parte de seu recente relatório “Threat Horizons” publicado na semana passada.

Das 50 instâncias do Google Cloud recentemente comprometidas, 86% delas foram usadas para realizar mineração de criptomoeda, em alguns casos num período de 22 segundos de violação bem-sucedida, enquanto 10% das instâncias foram exploradas para realizar varreduras de outros hosts acessíveis publicamente na internet para identificar sistemas vulneráveis ​​e 8% das instâncias foram usadas para atacar outras entidades. Cerca de 6% das instâncias do Google Cloud foram usadas para hospedar malware.

Na maioria dos casos, o acesso não autorizado foi atribuído ao uso de senhas fracas ou nenhuma senha para contas de usuário ou conexões de API (48%), vulnerabilidades em software de terceiros instalado na nuvem (26%) e vazamento de credenciais no GitHub (4%).

Outro ataque digno de nota foi uma campanha de phishing do Gmail lançada pelo grupo APT28 (também conhecido como Fancy Bear) no final de setembro, que envolveu o envio de uma explosão de e-mail para mais de 12 mil titulares de contas principalmente nos EUA, Reino Unido, Índia, Canadá, Rússia, Brasil e países da União Europeia com o objetivo de roubar suas credenciais.

Veja isso
Sai “Horizonte de ameaças”, 1° relatório de cyber do Google
Itália multa Apple e Google em US$ 11 milhões

Além disso, o Google CAT disse que observou hackers usando de créditos gratuitos da nuvem, projetos de teste e se passando por falsas startups para impulsionar tráfego para o YouTube. Em um incidente separado, um grupo de invasores apoiado pelo governo norte-coreano se disfarçou de recrutadores da Samsung para enviar falsas oportunidades de emprego a funcionários de várias empresas sul-coreanas de segurança da informação que vendem soluções antimalware.

“Os e-mails incluíam um PDF com uma descrição de trabalho para uma função na Samsung; no entanto, os PDFs eram malformados e não abriam em um leitor de PDF padrão”, disseram os pesquisadores. “Quando os alvos responderam que não conseguiam abrir o descritivo do trabalho, os invasores responderam com um link malicioso para malware que pretendia ser um ‘Secure PDF Reader’ armazenado no Google Drive, que agora foi bloqueado.”

O Google conectou os ataques ao mesmo operador de ameaça que anteriormente tinha como objetivo os profissionais de segurança que trabalhavam em pesquisa e desenvolvimento de vulnerabilidades no início deste ano para roubar explorações e realizar novos ataques contra alvos vulneráveis ​​de sua escolha.

“Os recursos hospedados na nuvem têm o benefício de alta disponibilidade e acesso ‘em qualquer lugar, a qualquer hora'”, disse o Google CAT. “Embora os recursos hospedados na nuvem simplifiquem as operações da força de trabalho, os malfeitores podem tentar tirar proveito da natureza onipresente da nuvem para comprometer os recursos da nuvem. Apesar da crescente atenção do público à segurança cibernética, o spear-phishing e as táticas de engenharia social são frequentemente bem-sucedidas.”

Compartilhar: