Buongiorno cari lettori, oggi parleremo dei minatori di criptovalute utilizzano account cloud Google compromessi.
Google ha avvertito che i cyberhacker utilizzano account cloud compromessi per estrarre criptovalute .
I dettagli dell’hack minerario sono contenuti in un rapporto del team di azione per la sicurezza informatica di Google, che individua le minacce di hacking contro il suo servizio cloud, una raccolta di servizi di elaborazione remota che possono includere l’archiviazione di dati e file dei clienti fuori sede, e fornisce consigli su come per affrontarli. Altre minacce identificate dal team nel suo primo rapporto “orizzonte delle minacce” includono: hacker statali russi che tentano di ottenere le password degli utenti avvertendo di essere stati presi di mira da aggressori sostenuti dal governo; hacker nordcoreani che si spacciano per reclutatori di lavoro Samsung; e l’uso di crittografia pesante negli attacchi ransomware.
“Mining” è il nome del processo attraverso la quale blockchain come quelle che stanno alla base delle criptovalute sono regolamentate e verificate e richiede una quantità significativa di potenza di calcolo . Google ha riferito che su 50 recenti hack del suo servizio di cloud computing, oltre l’80% è stato utilizzato per eseguire il mining di criptovalute. Il rapporto afferma che “l’86% delle istanze di Google Cloud compromesse è stato utilizzato per eseguire il mining di criptovaluta, un’attività a scopo di lucro ad alta intensità di risorse cloud”, aggiungendo che nella maggior parte dei casi il software di mining di criptovaluta è stato scaricato dopo 22 secondi che l’account è stato compromesso. Google ha affermato che in tre quarti degli attacchi al cloud gli aggressori hanno approfittato della scarsa sicurezza dei clienti o del software di terze parti vulnerabile.
I consigli di Google ai suoi clienti cloud per migliorare la loro sicurezza includono l’autenticazione a due fattori, un ulteriore livello di sicurezza oltre a un nome utente e una password generici, e l’iscrizione al programma di sicurezza aziendale che renderà il tutto più sicuro.
Altrove nel rapporto, Google ha affermato che il gruppo di hacking sostenuto dal governo russo APT28 , noto anche come Fancy Bear , ha preso di mira 12.000 account Gmail in un tentativo di massa di phishing, in cui gli utenti sono indotti con l’inganno a consegnare i propri dati di accesso. Gli aggressori hanno tentato di indurre i titolari di account a consegnare i loro dettagli tramite un’e-mail che diceva: “Riteniamo che gli aggressori sostenuti dal governo potrebbero tentare di ingannarti per ottenere la password del tuo account”. Google ha affermato di aver bloccato tutte le e-mail di phishing nell’attacco, che si è concentrato su Regno Unito, Stati Uniti e India, e che nessun dettaglio degli utenti è stato compromesso.
Un altro stratagemma di hacking segnalato da Google nel rapporto ha coinvolto un gruppo di hacker sostenuto dalla Corea del Nord che si fingeva reclutatore presso Samsung e inviava false opportunità di lavoro ai dipendenti delle società di sicurezza delle informazioni sudcoreane. Le vittime sono state quindi indirizzate verso un collegamento dannoso al malware archiviato in Google Drive, che ora è stato bloccato.
Google ha affermato che gestire gli attacchi ransomware, in cui i file e i dati sul computer di un utente vengono crittografati dall’attaccante fino a quando non viene effettuato un pagamento per il loro rilascio, è stato difficile perché la crittografia pesante “rende quasi impossibile il recupero dei file senza pagare per lo strumento di decrittazione”. Il rapporto segnala l’emergere di Black Matter, che descrive come una “formidabile famiglia di ransomware”.
Il rapporto di Google affermava: “Google ha ricevuto segnalazioni secondo cui il gruppo ransomware Black Matter ha annunciato che interromperà le operazioni a causa di pressioni esterne. Fino a quando questo non sarà confermato, Black Matter rappresenta ancora un rischio”.