Mineros de criptomonedas que utilizan cuentas en la nube secuestradas, advierte Google

Last updated Abr 13, 2023

Google ha anunciado una advertencia oficial sobre los mineros de criptomonedas que se dirigen a usuarios con cuentas en la nube que pueden piratearse en veintidós segundos (22). Los detalles de la amenaza fueron destacados por Google en su Informe Threat Horizons.

Según el informe de Google:

“El 86 % de las instancias de Google Cloud comprometidas se usaron para realizar minería de criptomonedas, una actividad lucrativa que consume muchos recursos en la nube… piratas informáticos malintencionados explotan instancias en la nube mal protegidas para descargar la aplicación de minería de criptomonedas al sistema, a veces dentro de los 22 segundos posteriores al compromiso. ."

Según Google, más del 80% de las cuentas en la nube pirateadas son utilizadas por piratas informáticos para extraer criptomonedas. La minería de criptomonedas requiere una gran cantidad de poder de cómputo, es por eso que los piratas informáticos apuntan a las cuentas de los clientes de Google Cloud para este propósito.

Según Google, en los últimos tres trimestres, los piratas informáticos se han aprovechado de la seguridad deficiente de la cuenta en la nube por parte de clientes o software de terceros que son vulnerables a las cuentas pirateadas. Google recomienda a sus usuarios fortalecer la seguridad en la nube mediante el uso de autenticación 2FA de dos factores que ofrece el doble de seguridad en comparación con una contraseña genérica.

Intentos de piratería de Corea del Norte y Rusia en el pasado

En el informe, Google también ha identificado actores de amenazas de Rusia y Corea del Norte. Según el informe, los piratas informáticos respaldados por el estado ruso están enviando advertencias falsas a los usuarios de que han sido atacados por atacantes respaldados por el gobierno para robar las contraseñas de los usuarios. Los agentes de amenazas de Corea del Norte se hacen pasar por reclutadores de trabajo de Samsung y usan cifrado en ataques de ransomware.

Los piratas informáticos respaldados por el estado ruso llamados APT28, también conocidos como Fancy Bear, se han dirigido a casi 12,000 cuentas de Gmail en un intento masivo de phishing, engañando a los usuarios para que transmitan sus datos de inicio de sesión. Atraían a los objetivos mediante el envío de correos electrónicos de phishing que decían: "Creemos que los atacantes respaldados por el gobierno pueden estar tratando de engañarlo para obtener la contraseña de su cuenta".

Google ha bloqueado todos los correos electrónicos de phishing que se centran en los EE. UU., el Reino Unido y la India, y se ha asegurado de que ningún dato de los clientes se haya visto comprometido.

Por otro lado, los piratas informáticos respaldados por el gobierno de Corea del Norte se hacen pasar por reclutadores de la compañía Samsung y envían correos electrónicos de trabajo falsos a los empleados de ciberseguridad de Corea del Sur. Se les dice a las víctimas que hagan clic en un enlace malicioso sospechoso que carga malware en su Google Drive. Ha sido bloqueado por Google.

Según Google, los piratas informáticos están utilizando el ransomware Black Matter para infectar las cuentas de los usuarios. La pandilla BlackMatter ha estado detrás de los ataques de ransomware contra Olympus, un gigante tecnológico, y New Cooperative Inc. Google también dijo que identificar estos ataques de ransomware se vuelve difícil ya que están fuertemente encriptados. Los atacantes cifran los datos de los usuarios y es casi imposible recuperar archivos sin pagar la clave de descifrado.

Aunque Black Matter supuestamente cerró sus operaciones a principios de este mes, Google dice que estos ataques marcan el resurgimiento de Black Matter, lo que representa un riesgo.