Un nou val de cryptojacking afectează utilizatorii AWS, utilizând o metodă simplă și eficientă pentru atacatori: accesul legitim bazat pe credențiale furate. În loc să exploateze vulnerabilități software, infractorii profită de conturi compromise cu privilegii de administrator pentru a mina criptomonede, generând costuri mari pentru organizații. Acest tip de atac evidențiază necesitatea unor măsuri stricte de securitate și monitorizare a mediului cloud.

Atacurile au fost semnalate în mai multe conturi AWS începând cu 2 noiembrie, vizând în special serviciile Elastic Compute Cloud (EC2) și Elastic Container Service (ECS). După compromiterea, atacatorii testează limitele de utilizare și permisiunile API, pentru a verifica dacă pot lansa resurse fără a atrage atenția. Ulterior, instalează software de minare, precum SBRMiner-MULTI, atât în ECS, cât și pe instanțe EC2, crescând consumul și cheltuielile.

Tehnicile folosite pentru persistenta și escaladare includ: activarea disable API termination pentru a preveni terminarea rapidă a resurselor și crearea a zeci de clustere ECS pentru a masca activitatea criminală. În plus, atacatorii folosesc auto scaling groups la EC2 pentru a menține minarea activă, chiar și după opriri manuale.

Pentru a păstra accesul, infractorii creează și funcții AWS Lambda expuse public, fără autentificare, și modifică setări pentru a evita terminarea instanțelor. Aceste tactici complică investigarea și prelungesc perioada de operare frauduloasă, sporind riscul de pierderi financiare.

Protejarea conturilor AWS împotriva cryptojacking începe cu gestionarea corespunzătoare a identității și a permisiunilor. Este recomandată utilizarea credențialelor temporare și limitarea drepturilor de administrator. Implementarea autentificării multi-factor (MFA) și monitorizarea alertelor de activitate atipică sunt esențiale.

În cazul unui incident, verificarea rapidă a resurselor create pentru acces persistent și protecția la terminare sunt pași cruciali. Investițiile în alertare și controlul resurselor ajută la diminuarea impactului. În mediile complexe, aceste verificări trebuie să fie constante.

Campania demonstrează cât de rapid pot deveni costurile de operare exorbitante dacă un cont AWS este compromis. Automatizarea infracțională și existența unor mecanisme de remediere eficiente sunt cheie pentru a limita pierderile.

Este vital ca organizatiile să fie în continuare informate și vigilente privind evoluțiile în securitatea cloud. Monitorizarea activă și actualizarea măsurilor de protecție pot preveni sau reduce efectele negative ale acestor atacuri.