- Según el informe Google Threat Horizon, los actores maliciosos están entrando en las cuentas de la nube para minar criptomonedas.
- El informe reveló que alrededor del 86 por ciento de los 50 casos recientes tenían que ver con hackers que minaban criptomonedas con cuentas comprometidas.
El aumento de los precios de las criptomonedas ha tenido una correlación directa con los ciberataques en múltiples informes publicados en los últimos tres años. Esto ha sido confirmado por el reciente informe Google Threat Horizon publicado a principios de esta semana. Según el informe, la demanda de estas valiosas monedas ha influido para que los actores maliciosos irrumpan en las cuentas de Google Cloud para minarlas.
El informe reveló que alrededor del 86 por ciento de los 50 casos recientes tenían que ver con hackers que minaban criptomonedas con cuentas comprometidas.
Se observaron actores maliciosos realizando minería de criptomonedas dentro de instancias de la Nube comprometidas.
Según el Equipo de Acción de Ciberseguridad de Google, se descubrió que dos objetivos comunes detrás de estas operaciones eran el «bombeo de tráfico» y la «obtención de beneficios».
La investigación estaba destinada a «proporcionar inteligencia procesable que permita a las organizaciones asegurar que sus entornos de nube están mejor protegidos.»
Se descubrió que los actores maliciosos eran de habla rusa. Además de minar criptomonedas en secreto, transmiten activamente vídeos en directo en los que prometen a la gente que contribuya con fondos para optar a un sorteo.
Los actores detrás de esta campaña, que atribuimos a un grupo de hackers reclutados en un foro de habla rusa, atraen a su objetivo con falsas oportunidades de colaboración.
El informe de Google también señala que los hackers sustituyen el nombre de la cuenta, la foto del perfil y el contenido por la marca de una bolsa de criptomonedas o una empresa de renombre para engañar a los usuarios. Algunas de las otras ciberamenazas descubiertas fueron el malware, el spam, el lanzamiento de DDoS y el alojamiento de contenidos no autorizados.
Cómo acceden los hackers a estas cuentas de Google Cloud
El informe descubrió que los hackers se aprovecharon principalmente de las malas prácticas de seguridad de los clientes para acceder a las cuentas en la nube.
Los actores maliciosos obtuvieron acceso a las instancias de Google Cloud aprovechando las malas prácticas de seguridad de los clientes o el software vulnerable de terceros en casi el 75% de los casos.
Curiosamente, el 48 por ciento de las instancias comprometidas estaban vinculadas a hackers que obtuvieron el control de la instancia de la nube orientada a Internet. Se dice que las cuentas de usuario o las conexiones API comprometidas no tenían contraseñas o tenían contraseñas más débiles. Esto sometía las cuentas de Google Cloud a la fuerza bruta. También se descubrió que el espacio de direcciones IP públicas se escaneaba con frecuencia en busca de nubes vulnerables. Esto se descubrió tras comprobar que en el 40% de los casos, el tiempo que se tardaba en comprometer el sistema era inferior a ocho horas.
Es probable que los clientes de Google Cloud que pongan en marcha instancias Cloud no seguras sean detectados y atacados en un periodo de tiempo relativamente corto. Dado que la mayoría de las instancias se utilizaron para la minería de criptomonedas en lugar de para la exfiltración de datos, los analistas de Google concluyeron que se escaneó el rango de direcciones IP de Google Cloud en lugar de dirigirse a clientes concretos de Google Cloud.
El informe sugiere que los usuarios de Google Cloud deben utilizar el análisis de contenedores para la exploración de vulnerabilidades y el almacenamiento de metadatos para contenedores. También se insta a los usuarios a hacer uso del escáner de seguridad web, además de utilizar una contraseña más fuerte y actualizar de forma rutinaria el software de terceros.