Ha surgido una nueva operación de cryptojacking nativa de la nube, con nombre en código AMBERSQUID, dirigida a ofertas inusuales de Amazon Web Services (AWS), como AWS Amplify, AWS Fargate y Amazon SageMaker, para extraer criptomonedas de forma ilícita. La empresa de seguridad en la nube y en contenedores Sysdig descubrió esta actividad cibernética maliciosa y la denominó AMBERSQUID.
Sysdig informó que la operación AMBERSQUID pudo explotar los servicios en la nube sin que AWS exigiera la aprobación de recursos adicionales. Esta operación se centró en múltiples servicios, lo que creó desafíos para la respuesta a incidentes, ya que requiere encontrar y eliminar a todos los mineros en cada servicio explotado.
Sysdig determinó que la campaña AMBERSQUID probablemente la lleven a cabo atacantes indonesios basándose en el uso del idioma indonesio en escrituras y nombres de usuario. A través del análisis de 1,7 millones de imágenes en Docker Hub, Sysdig descubrió que algunas de estas imágenes ejecutaban mineros de criptomonedas descargados de repositorios de GitHub controlados por actores, mientras que otras ejecutaban scripts de shell dirigidos a AWS.
Un elemento importante de esta operación es el abuso de AWS CodeCommit para crear un repositorio privado que luego se utiliza como fuente en varios servicios. Por ejemplo, el repositorio contiene el código fuente de una aplicación AWS Amplify, que un script de shell aprovecha para crear una aplicación web Amplify y posteriormente iniciar el minero de criptomonedas.
Los actores de amenazas también utilizaron scripts de shell para llevar a cabo cryptojacking en instancias de AWS Fargate y SageMaker, lo que generó importantes costos informáticos para las víctimas. Sysdig estimó que, si se ampliara para apuntar a todas las regiones de AWS, AMBERSQUID podría generar pérdidas de más de $10 000 por día. Los atacantes ya han obtenido más de 18.300 dólares en ingresos hasta la fecha, según un análisis de las direcciones de billetera utilizadas.
Aunque esta no es la primera vez que se vincula a actores de amenazas indonesios con campañas de criptojacking, resalta la importancia de considerar medidas de seguridad para todos los servicios de AWS, no solo los servicios informáticos como EC2. Algunos servicios, como AWS Amplify, AWS Fargate y Amazon SageMaker, también brindan acceso a recursos informáticos, lo que los convierte en objetivos potenciales de ataques.
Fuente: Las noticias del hacker
Definiciones:
- Criptojacking: El uso no autorizado de la computadora de otra persona para extraer criptomonedas sin su consentimiento o conocimiento.
- AWS amplifica: Una plataforma de desarrollo para crear aplicaciones web y móviles escalables alojadas en AWS.
- AWS Fargate: Un motor informático sin servidor para contenedores que facilita la ejecución de contenedores sin tener que administrar la infraestructura subyacente.
- Amazon SageMaker: Un servicio totalmente administrado que brinda a los desarrolladores y científicos de datos la capacidad de crear, entrenar e implementar modelos de aprendizaje automático de manera eficiente.
- Compromiso de código de AWS: Un servicio de control de código fuente totalmente administrado que permite a los desarrolladores alojar repositorios Git seguros y escalables.
- Criptomoneda: Una forma de moneda digital o virtual que utiliza criptografía para transacciones seguras y control de la creación de nuevas unidades.
More Stories
Los trabajadores del ferry Fullers360 reciben un aumento salarial el 1 de octubre
evento dedicado a los videojuegos, el territorio y el turismo en Italia
Se prevé que 426.000 compradores menos por primera vez ingresarán al mercado inmobiliario para 2027