Se és utilizador da Amazon Web Services (AWS), é melhor prestares atenção ao teu ambiente de nuvem. Recentemente, a equipa de investigação de cibersegurança da Sysdig descobriu uma campanha de cryptojacking que tem como alvo serviços AWS pouco comuns. Este novo tipo de ataque foi batizado de AMBERSQUID e já causou, pelo menos, 18 mil dólares em lucros para os atacantes.
O pior é que esta campanha tem potencial para custar mais de 10 mil dólares por dia se for dimensionada para atingir todas as regiões da AWS. Mas não é só isso. Os investigadores acreditam que os culpados são, muito provavelmente, de origem indonésia, já que alguns dos scripts e nomes de utilizadores estavam escritos no idioma indonésio.
O que é o cryptojacking?
Cryptojacking é um tipo de ataque cibernético em que os hackers instalam secretamente um software de mining de criptomoedas numa máquina alvo. Embora não seja malicioso em si, este tipo de ataque pode deixar a vítima com contas elevadas de eletricidade e dados, sem mencionar um dispositivo quase inutilizável até que o software malicioso seja removido.
Como funciona o AMBERSQUID
O AMBERSQUID distingue-se por atacar serviços AWS pouco comuns, como o AWS Amplify, AWS Fargate e Amazon SageMaker. Além disso, esta campanha foi capaz de explorar serviços de nuvem sem desencadear os mecanismos de aprovação de recursos da AWS, que normalmente seriam acionados se estivessem a atacar apenas instâncias EC2.
Desafios e consequências
O ataque a múltiplos serviços AWS representa desafios adicionais em termos de resposta a incidentes. Isso significa que é necessário encontrar e neutralizar todos os softwares de mining em cada serviço explorado, tornando o processo de mitigação mais complexo.
Lucros e custos associados
Ao analisar os dados da blockchain associados aos softwares de mining de criptomoedas, os investigadores estimaram que os atacantes já geraram pelo menos 18 mil dólares em lucros. Se o ataque fosse dimensionado para todas as regiões da AWS, o custo para as vítimas poderia ultrapassar 10 mil dólares por dia.
Mineradores de criptomoeda mais populares
O software de mineração mais popular utilizado em ataques de cryptojacking é o XMRig, que minera o token Monero (XMR). Este token tem uma forte ênfase na privacidade, o que o torna uma escolha atrativa para atividades ilícitas.
Origem dos atacantes
Os investigadores acreditam que os atacantes são muito provavelmente de origem indonésia. Esta afirmação é baseada na análise de scripts e nomes de utilizadores associados ao ataque, que estavam escritos em indonésio.
O que fazer para te protegeres?
Recomenda-se que os utilizadores da AWS revisitem as suas políticas de segurança e monitorizem ativamente os seus ambientes de nuvem para atividades suspeitas. Manter os sistemas atualizados e utilizar soluções de segurança robustas pode ser a chave para evitar ser vítima deste tipo de ataque.
Fica atento às novidades e mantém os teus sistemas seguros. O mundo da cibersegurança está sempre em evolução, e é crucial estar um passo à frente dos atacantes.
Outros artigos interessantes: