Datan suojeluKenraaliPoliittisia uutisia

Kryptovaluuttakaivostyöntekijät käyttävät kaapattuja pilvitilejä, varoittaa Google

Viimeisin päivitys huhti 13, 2023

Google on ilmoittanut virallisen varoituksen kryptovaluuttakaivostyöntekijöistä, jotka kohdistavat käyttäjiin, joilla on pilvitilit, jotka voidaan hakkeroida 22 sekunnissa (22). Google korosti uhan yksityiskohtia Threat Horizons -raportissaan.

Googlen raportin mukaan:

"86 % vaarantuneista Google Cloud -esiintymistä käytettiin kryptovaluutan louhinnan suorittamiseen, pilviresursseja vaativaan voittoa tavoittelevaan toimintaan… Haitalliset hakkerit käyttävät väärin suojattuja pilvi-instansseja ladatakseen salauslouhintasovelluksen järjestelmään – joskus 22 sekunnin sisällä vaarantumisesta. ."

Googlen mukaan hakkerit käyttävät yli 80 % hakkeroiduista pilvitileistä kryptovaluuttojen louhintaan. Kryptovaluutan louhinta vaatii paljon laskentatehoa, minkä vuoksi hakkerit kohdistavat tähän tarkoitukseen asiakkaiden Google Cloud -tilejä.

Googlen mukaan hakkerit ovat viimeisen kolmen vuosineljänneksen aikana käyttäneet hyväkseen asiakkaiden tai kolmansien osapuolien ohjelmistojen heikkoa pilvipalvelua, joka on alttiina tilien hakkerointiin. Google suosittelee käyttäjiään vahvistamaan pilviturvallisuutta käyttämällä kaksifaktorista 2FA-todennusta, joka tarjoaa kaksinkertaisen turvallisuuden yleiseen salasanaan verrattuna.

Pohjois-Korean ja Venäjän hakkerointiyritykset menneisyydessä

Raportissa Google on tunnistanut myös uhkatoimijoita Venäjältä ja Pohjois-Koreasta. Raportin mukaan Venäjän valtion tukemat hakkerit lähettävät käyttäjille väärennettyjä varoituksia siitä, että he ovat joutuneet hallituksen tukemien hyökkääjien kohteeksi varastamaan käyttäjien salasanoja. Pohjoiskorealaiset uhkaagentit esiintyvät Samsungin työnhakijoina ja käyttävät salattuja lunnasohjelmahyökkäyksiä.

Venäjän valtion tukemat hakkerit APT28, joka tunnetaan myös nimellä Fancy Bear, ovat kohdistaneet lähes 12 000 Gmail-tiliin massiivisessa tietojenkalasteluyrityksessä huijaten käyttäjiä lähettämään kirjautumistietonsa. He houkuttelivat kohteita lähettämällä tietojenkalasteluviestejä, joissa todettiin: "Uskomme, että hallituksen tukemat hyökkääjät saattavat yrittää huijata sinua saamaan tilisi salasanan."

Google on estänyt kaikki tietojenkalasteluviestit Yhdysvaltoihin, Isoon-Britanniaan ja Intiaan ja on varmistanut, ettei asiakastietoja ole vaarantunut.

Toisaalta Pohjois-Korean hallituksen tukemat hakkerit esiintyvät Samsungin yrityksen rekrytoijana ja lähettävät väärennettyjä työsähköposteja eteläkorealaisille kyberturvallisuuden työntekijöille. Uhreja kehotetaan napsauttamaan epäilyttävää haitallista linkkiä, joka lataa haittaohjelman heidän Google Driveen. Google on estänyt sen.

Googlen mukaan hakkerit käyttävät Black Matterin kiristysohjelmia käyttäjätilien saastuttamiseen. BlackMatter-jengi on ollut ransomware- hyökkäysten takana teknologiajätti Olympukseen ja New Cooperative Inc: iin. Google sanoi myös, että näiden kiristysohjelmahyökkäysten tunnistaminen on vaikeaa, koska ne ovat voimakkaasti salattuja. Hyökkääjät salaavat käyttäjätiedot, ja tiedostojen palauttaminen on lähes mahdotonta maksamatta salauksen purkuavaimesta.

Vaikka Black Matterin väitetään sulkeneen toiminnan aiemmin tässä kuussa, Google sanoo, että nämä hyökkäykset merkitsevät Black Matterin uudelleen ilmaantumista, mikä aiheuttaa riskin.