I minatori di criptovaluta che utilizzano account cloud dirottati, avverte Google

Last updated Apr 13, 2023

Google ha annunciato un avviso ufficiale relativo ai minatori di criptovaluta che prendono di mira utenti con account Cloud che possono essere violati entro ventidue secondi (22). I dettagli della minaccia sono stati evidenziati da Google nel suo Threat Horizons Report.

Secondo il rapporto di Google:

"L'86% delle istanze Google Cloud compromesse è stato utilizzato per eseguire il mining di criptovalute, un'attività a scopo di lucro ad alta intensità di risorse cloud… hacker malintenzionati sfruttano istanze cloud protette in modo improprio per scaricare l'applicazione di mining di criptovalute nel sistema, a volte entro 22 secondi dalla compromissione ."

Secondo Google, oltre l'80% degli account cloud hackerati vengono utilizzati per il mining di criptovalute dagli hacker. Il mining di criptovalute richiede molta potenza di calcolo, ecco perché gli hacker prendono di mira gli account Google Cloud dei clienti per questo scopo.

Secondo Google, negli ultimi tre trimestri, gli hacker hanno sfruttato la scarsa sicurezza degli account cloud da parte di clienti o software di terze parti che sono vulnerabili agli account hackerati. Google consiglia ai suoi utenti di rafforzare la sicurezza del cloud utilizzando l'autenticazione 2FA a due fattori che offre una doppia sicurezza rispetto a una password generica.

Tentativi di hacking nordcoreani e russi in passato

Nel rapporto, Google ha anche identificato gli attori delle minacce provenienti da Russia e Corea del Nord. Secondo il rapporto, gli hacker sostenuti dallo stato russo inviano falsi avvisi agli utenti di essere stati presi di mira da aggressori sostenuti dal governo per rubare le password degli utenti. Gli agenti di minaccia nordcoreani si atteggiano a reclutatori di lavoro da Samsung e utilizzano la crittografia negli attacchi ransomware.

Gli hacker russi sostenuti dallo stato chiamato APT28, noto anche come Fancy Bear, hanno preso di mira quasi 12.000 account Gmail in un massiccio tentativo di phishing, inducendo gli utenti a trasmettere i propri dati di accesso. Hanno attirato obiettivi inviando e-mail di phishing in cui affermavano: "Riteniamo che gli aggressori sostenuti dal governo potrebbero tentare di ingannarti per ottenere la password del tuo account".

Google ha bloccato tutte le e-mail di phishing incentrate su Stati Uniti, Regno Unito e India e si è assicurata che i dati dei clienti non venissero compromessi.

D'altra parte, gli hacker sostenuti dal governo nordcoreano si atteggiano a reclutatori di aziende Samsung e inviano false e-mail di lavoro ai dipendenti della sicurezza informatica sudcoreani. Alle vittime viene detto di fare clic su un collegamento dannoso sospetto che carica malware sul proprio Google Drive. È stato bloccato da Google.

Secondo Google, gli hacker stanno utilizzando il ransomware Black Matter per infettare gli account degli utenti. La banda di BlackMatter è stata dietro gli attacchi ransomware contro Olympus, un gigante tecnologico, e New Cooperative Inc. Google ha anche affermato che l'identificazione di questi attacchi ransomware diventa difficile poiché sono fortemente crittografati. Gli aggressori crittografano i dati degli utenti ed è quasi impossibile recuperare i file senza pagare la chiave di decrittazione.

Anche se Black Matter avrebbe interrotto le operazioni all'inizio di questo mese, Google afferma che questi attacchi segnalano il riemergere di Black Matter, rappresentando un rischio.