O Google anunciou um aviso oficial sobre mineradores de criptomoedas visando usuários com contas na nuvem que podem ser invadidas em vinte e dois segundos (22). As especificidades da ameaça foram destacadas pelo Google em seu Relatório Threat Horizons.
De acordo com o relatório do Google:
“86% das instâncias comprometidas do Google Cloud foram usadas para realizar mineração de criptomoedas, uma atividade lucrativa com uso intensivo de recursos da nuvem… hackers mal-intencionados exploram instâncias de nuvem protegidas incorretamente para baixar o aplicativo de mineração de criptomoedas para o sistema – às vezes dentro de 22 segundos após serem comprometidos ."
Segundo o Google, mais de 80% das contas de nuvem hackeadas são usadas para mineração de criptomoedas por hackers. A mineração de criptomoedas requer muito poder de computação, é por isso que os hackers estão direcionando contas de clientes do Google Cloud para essa finalidade.
De acordo com o Google, nos últimos três trimestres, os hackers exploraram a baixa segurança de contas na nuvem por clientes ou software de terceiros que são vulneráveis a contas de hackers. O Google recomenda que seus usuários reforcem a segurança na nuvem usando autenticação 2FA de dois fatores que oferece segurança dupla em comparação com uma senha genérica.
Tentativas de hackers norte-coreanos e russos no passado
No relatório, o Google também identificou atores de ameaças da Rússia e da Coreia do Norte. De acordo com o relatório, hackers apoiados pelo Estado russo estão enviando avisos falsos aos usuários de que foram alvos de invasores apoiados pelo governo para roubar as senhas dos usuários. Agentes de ameaças norte-coreanos estão se passando por recrutadores de empregos da Samsung e usam ataques de ransomware criptografados .
Hackers russos apoiados pelo Estado, chamados APT28, também conhecidos como Fancy Bear, atacaram quase 12.000 contas do Gmail em uma tentativa de phishing massiva, enganando os usuários para que transmitissem seus detalhes de login. Eles atraíram alvos enviando e-mails de phishing dizendo: “Acreditamos que invasores apoiados pelo governo podem estar tentando enganá-lo para obter a senha da sua conta".
O Google bloqueou todos os e-mails de phishing com foco nos EUA, Reino Unido e Índia e garantiu que nenhum dado do cliente fosse comprometido.
Por outro lado, hackers apoiados pelo governo norte-coreano estão se passando por recrutadores da empresa Samsung e enviando e-mails de trabalho falsos para funcionários de segurança cibernética sul-coreanos. As vítimas são instruídas a clicar em um link malicioso suspeito que carrega malware em seu Google Drive. Foi bloqueado pelo Google.
Segundo o Google, os hackers estão usando o ransomware Black Matter para infectar contas de usuários. A gangue BlackMatter está por trás de ataques de ransomware à Olympus, uma gigante da tecnologia, e à New Cooperative Inc. O Google também disse que identificar esses ataques de ransomware se torna difícil, pois eles são fortemente criptografados. Os invasores criptografam os dados do usuário e é quase impossível recuperar arquivos sem pagar pela chave de descriptografia.
Embora a Black Matter tenha supostamente encerrado as operações no início deste mês, o Google diz que esses ataques sinalizam o ressurgimento da Black Matter, representando um risco.