Nuestro Broker
PUNTOS IMPORTANTES:
- El Equipo de Acción de Ciberseguridad de Google indicó en un reciente informe que ciberdelincuentes aprovechan cuentas comprometidas de Google Cloud para minar criptomonedas de forma maliciosa.
- El informe también establece que el 86% de las cuentas vulneradas se utilizaron para el criptojacking.
- En el 58% de los casos estudiados, sólo tomó 22 segundos para que el software de minería de criptomonedas fuera descargado al sistema del usuario luego de ser vulnerada la cuenta, indicaron los analistas.
Recientemente, el Equipo de Acción de Ciberseguridad de Google reveló en un informe que una de las principales amenazas en Google Cloud es la vulneración de cuentas para la minería maliciosa de criptomonedas.
El informe denominado “Threat Horizons”, publicado esta semana en el blog oficial de Google Cloud, señala que el Grupo de Análisis de Amenazas o TAG (por sus siglas en inglés) encontró que “los atacantes explotan instancias en la nube mal configuradas con el objetivo de obtener ganancias a través de la extracción de criptomonedas”.
Según analistas de ciberseguridad de Google, de las 50 instancias de la plataforma de Google Cloud que se vieron recientemente comprometidas, el 86% de ellas fueron utilizadas principalmente para “realizar minería de criptomonedas” de forma maliciosa y así lucrarse de ella. Dichas operaciones fueron ejecutadas por ciberdelincuentes que usaron las cuentas en la nube vulneradas para acceder a los recursos de CPU/GPU de los usuarios y poder minar tokens, o en el caso de la criptomoneda Chia, usar el espacio de almacenamiento de dichas cuentas para poder minarla, de acuerdo con lo revelado en el informe.
Además, el 10% de las instancias en la nube comprometidas se utilizó para “realizar escaneos de otros recursos disponibles públicamente en Internet para identificar sistemas vulnerables”, y 8% de tales instancias fueron empleadas para “atacar otros objetivos”, reveló el informe. Asimismo, las cuentas vulneradas fueron utilizadas en menor medida para hospedar malware (6%) y contenido no autorizado de Internet (4%), así como también para lanzar bots de ataques DDoS (2%) y enviar spam (2%), de acuerdo con el informe de Google. En algunos casos, desde una misma instancia comprometida se realizaron varias acciones maliciosas, por ello ninguna de las actividades mencionadas alcanza el 100%, según el reporte citado.
El Equipo de Acción de Ciberseguridad de Google también encontró que los ciberatacantes se aprovecharon de “las malas prácticas de seguridad del cliente” y/o del uso de “software vulnerable de terceros” en casi el 75% de los casos analizados. Desglosando dicho porcentaje, los analistas reportaron que el 48% de las cuentas no tenían contraseña o poseían una contraseña débil, de manera que fueron “escaneadas con facilidad y forzadas brutalmente” por una entidad maliciosa; mientras que en el 26% restante, el acceso de los ciberatacantes se atribuyó a “vulnerabilidades en software de terceros” instalados por cada propietario.
Según los analistas, al parecer el robo de datos no era el objetivo principal tras estos ataques, pero lograron comprometer los activos en la nube de los usuarios. De acuerdo con los especialistas de Ciberseguridad de Google, “los malos actores comienzan a realizar múltiples formas de abuso y las instancias públicas en la nube orientadas a Internet estaban abiertas al escaneo y a los ataques de fuerza bruta”, reportó el equipo.
Un aspecto que destaca el informe es el tiempo en el cual se vieron comprometidas las instancias de Google Cloud. En el caso del criptojacking o la minería de criptomonedas maliciosa, sólo tomaba 22 de segundos en descargarse el software de minería de criptomonedas al sistema del usuario en el 58% de los casos analizados. Según el equipo de Google, esto último sugiere que “los ataques iniciales y las descargas posteriores fueron eventos programados que no requirieron intervención humana”, añadiendo que intervenir manualmente en este tipo de situaciones es prácticamente imposible, por lo que recomiendan que “la mejor defensa es no implementar un sistema vulnerable o tener mecanismos de respuesta automatizados”.
El criptojacking o minería de criptomonedas maliciosa es una modalidad de ataque que utilizan piratas informáticos para lucrarse utilizando los dispositivos o cuentas en nubes de terceros. De forma similar a lo detectado en Google Cloud, hace cuatro meses la firma de ciberseguridad en la nube Uptycs encontró una variante de un virus o malware del tipo gusano Golang, el cual ataca a los servidores vulnerables basados en Linux o similares (*nix o UNIX) con minería maliciosa de la criptomoneda Monero (XMR).
Descargo de responsabilidad: Toda la información encontrada en Bitfinanzas es dada con la mejor intención, esta no representa ninguna recomendación de inversión y es solo para fines informativos. Recuerda hacer siempre tu propia investigación.
