- Laut dem Google Threat Horizon Report brechen Kriminelle in Cloud-Konten ein – zum Krypto-Mining.
- Aus dem Bericht geht hervor, dass in etwa 86% der 50 jüngsten Fälle Hacker mit gehackten Konten Krypto-Moiing betrieben.
In mehreren Berichten, die in den letzten drei Jahren veröffentlicht wurden, wurde ein direkter Zusammenhang zwischen dem Anstieg der Kryptopreise und Cyberangriffen festgestellt. Dies wurde durch den jüngsten Google Threat Horizon Report bestätigt, der am 29. November veröffentlicht wurde. Dem Bericht zufolge hat die gestiegene Nachfrage nach Kryptowährungen die Kriminellen dazu veranlasst, in Google Cloud-Konten einzubrechen und sie für ihre Zwecke zu missbrauchen.
Aus dem Bericht geht hervor, dass in etwa 86% der 50 jüngsten Fälle Kriminelle mit gehackten Konten Krypto-Mining betrieben.
„Kriminelle wurden beim Mining von Kryptowährungen in kompromittierten Cloud-Instanzen beobachtet.“
Laut dem Google Cybersecurity Action Team wurden zwei gemeinsame Ziele hinter diesen Operationen festgestellt: Traffic-Pumping und Gewinnmaximierung.
Die Untersuchung sollte „verwertbare Erkenntnisse liefern, mit denen Unternehmen sicherstellen können, dass ihre Cloud-Umgebungen optimal geschützt sind.“
Es wurde festgestellt, dass die böswilligen Akteure russischsprachig sind. Sie schürfen nicht nur heimlich Kryptowährungen, sondern streamen auch aktiv Live-Videos, in denen sie den Leuten versprechen, Geld zu spenden, um sich für ein Gewinnspiel zu qualifizieren.
„Die Akteure hinter dieser Kampagne, die wir einer Gruppe von Hackern zuschreiben, die in einem russischsprachigen Forum rekrutiert wurden, ködern ihr Ziel mit gefälschten Kooperationsmöglichkeiten.“
Der Google-Bericht stellte auch fest, dass Hacker den Kontonamen, das Profilbild und den Inhalt durch die Marke einer bekannten Kryptobörse oder Firma ersetzen, um die Nutzer zu täuschen. Einige der anderen entdeckten Cyber-Bedrohungen waren Malware, Spam, das Starten von DDoS und das Hosten nicht autorisierter Inhalte.
Wie Hacker auf die Google-Konten zugreifen
In dem Bericht wurde festgestellt, dass die Hacker in erster Linie mangelhafte Sicherheitspraktiken der Kunden ausnutzten, um sich Zugang zu den Cloud-Konten zu verschaffen.
„In fast 75 % aller Fälle verschafften sich böswillige Akteure Zugang zu den Google-Cloud-Instanzen, indem sie schlechte Sicherheitspraktiken der Kunden oder anfällige Software von Drittanbietern ausnutzten.“
Interessanterweise wurden 48 Prozent der kompromittierten Instanzen damit in Verbindung gebracht, dass Hacker die Kontrolle über die dem Internet zugewandte Cloud-Instanz erlangten. Die kompromittierten Nutzerkonten oder API-Verbindungen hatten entweder keine Passwörter oder schwächere Passwörter. Dadurch waren die Google-Cloud-Konten einer Brute-Force-Methode ausgesetzt. Es wurde auch festgestellt, dass der öffentliche IP-Adressraum häufig nach verwundbaren Clouds durchsucht wurde. Dies wurde festgestellt, nachdem man festgestellt hatte, dass in 40 Prozent der Fälle die Zeit bis zur Kompromittierung weniger als acht Stunden betrug.
„Google Cloud-Kunden, die unsichere Cloud-Instanzen einrichten, werden wahrscheinlich in relativ kurzer Zeit entdeckt und angegriffen. Da die meisten Instanzen eher für das Mining von Kryptowährungen als für die Exfiltration von Daten genutzt wurden, kamen die Google-Analysten zu dem Schluss, dass der IP-Adressbereich der Google Cloud gescannt wurde und nicht bestimmte Google-Cloud-Kunden das Ziel waren.“
Der Bericht schlägt vor, dass Google Cloud-Nutzer Container Analysis für Vulnerability Scanning und Metadatenspeicherung für Container verwenden müssen. Außerdem wird den Nutzern dringend empfohlen, den Web Security Scanner zu verwenden, ein stärkeres Passwort zu benutzen und die Software von Drittanbietern regelmäßig zu aktualisieren.
