Майнери криптовалют за допомогою захоплених хмарних облікових записів, попереджає Google

Останнє оновлення Кві 13, 2023

Google оголосила офіційне попередження щодо майнерів криптовалюти, орієнтованих на користувачів із хмарними обліковими записами, які можна зламати протягом двадцяти двох секунд (22). Особливості загрози були висвітлені Google у звіті Threat Horizons Report.

Згідно зі звітом Google:

«86% скомпрометованих екземплярів Google Cloud використовувалися для майнінгу криптовалюти, копіткої діяльності з використанням хмарних ресурсів…зловмисники використовують неналежно захищені екземпляри хмари, щоб завантажити програму для майнінгу криптовалют у систему — іноді протягом 22 секунд після скомпрометації ».

За даними Google, більше 80% зламаних хмарних акаунтів використовуються для майнінгу криптовалюти хакерами. Майнінг криптовалюти вимагає великої обчислювальної потужності, тому хакери орієнтуються на акаунти клієнтів Google Cloud для цієї мети.

За даними Google, протягом останніх трьох кварталів хакери скористалися поганим захистом хмарних облікових записів клієнтами або стороннім програмним забезпеченням, уразливим до злому облікових записів. Google рекомендує своїм користувачам посилити хмарну безпеку, використовуючи двофакторну автентифікацію 2FA, яка забезпечує подвійну безпеку порівняно зі звичайним паролем.

Північнокорейські та російські спроби злому в минулому

У звіті Google також виявив загрозливих суб'єктів з Росії та Північної Кореї. Згідно з повідомленням, російські хакери, які підтримує держава, надсилають користувачам підроблені попередження про те, що вони стали мішенню зловмисників, підтримуваних урядом, для крадіжки паролів користувачів. Північнокорейські агенти-загрози видають себе за рекрутерів із Samsung і використовують зашифровані дані для атак із програмним забезпеченням-вимагачем .

Російські державні хакери під назвою APT28, також відомі як Fancy Bear, атакували майже 12 000 облікових записів Gmail під час масової спроби фішингу, обманом змусивши користувачів передати свої дані для входу. Вони заманювали цілі, надсилаючи фішингові електронні листи, в яких говорилося: «Ми вважаємо, що підтримувані урядом зловмисники можуть намагатися обдурити вас, щоб отримати пароль вашого облікового запису».

Google заблокував усі фішингові листи, зосереджені на США, Великобританії та Індії, і переконався, що жодні дані клієнтів не були скомпрометовані.

З іншого боку, хакери, підтримувані урядом Північної Кореї, видають себе за рекрутерів компанії Samsung і надсилають фейкові листи з роботою південнокорейським працівникам кібербезпеки. Жертвам пропонують натиснути на підозріле шкідливе посилання, яке завантажує шкідливе програмне забезпечення на їхній Google Диск. Його заблоковано Google.

За даними Google, хакери використовують програми-вимагачі Black Matter для зараження облікових записів користувачів. За атаками програм-вимагачів на технологічного гіганта Olympus і New Cooperative Inc стоїть банда BlackMatter. Google також сказав, що ідентифікувати ці атаки програм-вимагачів стає важко, оскільки вони сильно зашифровані. Зловмисники шифрують дані користувача, і відновити файли, не заплативши за ключ дешифрування, практично неможливо.

Незважаючи на те, що Black Matter нібито припинив свою діяльність на початку цього місяця, Google каже, що ці атаки свідчать про повторну появу Black Matter, створюючи ризик.