Google a annoncé un avertissement officiel concernant les mineurs de crypto-monnaie ciblant les utilisateurs avec des comptes Cloud qui peuvent être piratés en vingt-deux secondes (22). Les spécificités de la menace ont été mises en évidence par Google dans son rapport Threat Horizons.
Selon le rapport de Google :
« 86 % des instances Google Cloud compromises ont été utilisées pour effectuer du minage de crypto-monnaie, une activité à but lucratif gourmande en ressources cloud… des pirates malveillants exploitent des instances cloud mal sécurisées pour télécharger une application de minage de cryptoc sur le système, parfois dans les 22 secondes suivant leur compromission. ."
Selon Google, plus de 80% des comptes cloud piratés sont utilisés pour extraire de la crypto-monnaie par des pirates. L'extraction de crypto-monnaie nécessite beaucoup de puissance de calcul, c'est pourquoi les pirates ciblent les comptes Google Cloud des clients à cette fin.
Selon Google, au cours des trois derniers trimestres, les pirates ont exploité la mauvaise sécurité des comptes cloud par des clients ou des logiciels tiers vulnérables au piratage des comptes. Google recommande à ses utilisateurs de renforcer la sécurité du cloud en utilisant une authentification 2FA à deux facteurs qui offre une double sécurité par rapport à un mot de passe générique.
Tentatives de piratage nord-coréennes et russes dans le passé
Dans le rapport, Google a également identifié des acteurs menaçants de Russie et de Corée du Nord. Selon le rapport, des pirates informatiques soutenus par l'État russe envoient de faux avertissements aux utilisateurs indiquant qu'ils ont été ciblés par des attaquants soutenus par le gouvernement pour voler les mots de passe des utilisateurs. Les agents de menace nord-coréens se font passer pour des recruteurs d'emplois de Samsung et utilisent le cryptage dans les attaques de rançongiciels.
Des pirates informatiques soutenus par l'État russe appelés APT28, également connus sous le nom de Fancy Bear, ont ciblé près de 12 000 comptes Gmail dans une tentative de phishing massive , incitant les utilisateurs à transmettre leurs informations de connexion. Ils ont attiré des cibles en envoyant des e-mails de phishing déclarant : "Nous pensons que des attaquants soutenus par le gouvernement essaient peut-être de vous tromper pour obtenir le mot de passe de votre compte."
Google a bloqué tous les e-mails de phishing axés sur les États-Unis, le Royaume-Uni et l'Inde, et s'est assuré qu'aucune donnée client n'a été compromise.
D'autre part, des pirates informatiques soutenus par le gouvernement nord-coréen se font passer pour des recruteurs de l'entreprise Samsung et envoient de faux e-mails d'emploi aux employés sud-coréens de la cybersécurité. Les victimes sont invitées à cliquer sur un lien malveillant suspect qui charge des logiciels malveillants sur leur Google Drive. Il a été bloqué par Google.
Selon Google, les pirates utilisent le rançongiciel Black Matter pour infecter les comptes des utilisateurs. Le gang BlackMatter a été à l'origine d'attaques de rançongiciels contre Olympus, un géant de la technologie, et New Cooperative Inc. Google a également déclaré que l'identification de ces attaques de rançongiciels devient difficile car elles sont fortement cryptées. Les attaquants chiffrent les données des utilisateurs et il est presque impossible de récupérer des fichiers sans payer la clé de déchiffrement.
Même si Black Matter aurait arrêté ses opérations plus tôt ce mois-ci, Google affirme que ces attaques signalent la réémergence de Black Matter, ce qui pose un risque.