GitHub, Heroku e
Togglebox são algumas das plataformas utilizadas por invasores que, no pico de
suas operações, criavam de 3 a 5 contas por minuto para cripto mineração
Todos os dias novos tipos de ataques cibernéticos
são criados por hackers, gerando muito trabalho para empresários e
profissionais responsáveis pela segurança dos dados das empresas. E mesmo não
sendo um golpe tão novo, o "Freejacking" se tornou
popular entre os hackers para minerar criptomoedas.
De acordo com as novas
descobertas da Unit 42, braço de pesquisa da Palo Alto Networks, o
Automated Libra, grupo de ameaça de nuvem por trás da campanha de freejacking
PurpleUrchin, criou mais de 130.000 contas em plataformas de cloud
como Heroku e GitHub, para a mineração de cripto, envolvendo roubo ilegal de
recursos dessas plataformas. A disponibilidade desses serviços relacionados à
nuvem facilita ameaças, porque eles não precisam manter sua própria
infraestrutura para implantar suas aplicações para os ataques.
“O Automated Libra é um grupo de freejacking da
África do Sul que visa principalmente plataformas de nuvem que oferecem testes
dos seus recursos oferecidos por tempo limitado ou até gratuitamente para
realizar suas operações de criptomineração”, disse Daniel Bortolazo, Gerente de
Engenharia e Arquitetura da Palo Alto Networks no Brasil. “Com essa descoberta,
avaliamos que os atacantes por trás das operações do PurpleUrchin roubaram
recursos de nuvem de várias plataformas que oferecem esse serviço por meio de
uma tática que os pesquisadores da Unit 42 chamam de ‘Play and Run’. Isso
permite que cibercriminosos usem recursos da nuvem e se recusem a pagar por
eles assim que a conta chega''.
Mas como funciona o
"Freejacking"?
Freejacking é um tipo de ataque cibernético que usa plataformas de nuvem que
oferecem testes de seus recursos para realizar mineração de criptografia. De
acordo com a pesquisa, há evidências de saldos não pagos em algumas dessas
plataformas de serviços em nuvem de várias das contas criadas. Essa descoberta
sugere que os atacantes criaram contas falsas com cartões de crédito roubados
ou falsificados.
“Os hackers do PurpleUrchin realizaram essas
operações Play and Run por meio da criação e uso de contas falsas, com
cartões de crédito falsificados ou provavelmente roubados. Todas essas contas
que descobrimos tinham um saldo pendente a ser pago. Embora um dos maiores
saldos não pagos que encontramos tenha sido de US$190, suspeitamos que os
valores em outras contas falsas e serviços em nuvem usados pelos hackers possam
ter sido muito maiores devido à escala e amplitude da operação de mineração.
Quando aplicamos esse valor às 130 mil contas criadas, temos uma visão do prejuízo”.
Ao analisar os dados coletados, a Unit 42 rastreou
os hackers até agosto de 2019, identificando atividades espalhadas por vários
provedores de nuvem e trocas de criptografia.
Aproveitando as brechas do
CAPTCHA
Os cibercriminosos por trás dessa campanha criaram
de três a cinco contas no GitHub a cada minuto durante o pico de suas operações
em novembro de 2022. O relatório aponta que o provável motivo pelo qual os eles
usaram o GitHub é devido à diminuição da resistência na criação de contas,
aproveitando uma fraqueza na verificação CAPTCHA na plataforma. Depois disso,
foi possível estabelecer uma base de contas, começando as atividades de freejacking.
Para burlar o CAPTCHA como meio de ataque, os
hackers usaram uma conta do Gmail para automatizar o processo de obtenção do
código de inicialização. Depois que a senha é inserida, a automação gera um
token de acesso pessoal (PAT) com permissões de fluxo de trabalho.
Heroku sendo usado pelos
hackers
Uma das implantações mais recentes de ameaças
envolveu a execução do Togglebox usando serviços AHP. O Togglebox é uma
plataforma de hospedagem de aplicativos e VPS em nuvem de unidade de estado
sólido (SSD) totalmente gerenciada. O Heroku é um dos serviços de nuvem
preferidos usados pelos hackers em 2021, porque é um CAP que permite aos
usuários criar e implantar aplicativos sem a necessidade de manter a
infraestrutura de hospedagem em nuvem. As operações de PurpleUrchins fizeram
uso desse recurso em todas as suas operações e depois de analisar os dados dos
contêineres coletados, a Unit 42 identificou um total de 100.723 contas únicas
criadas na plataforma.
“Os pesquisadores da Unit 42 identificaram mais de
40 carteiras criptográficas individuais e sete diferentes criptomoedas ou
tokens sendo usados dentro da operação PurpleUrchin”, disse Bortolazo. “Também
identificamos que componentes específicos da infraestrutura que foram criadas
não foram apenas projetados para executar a funcionalidade de mineração, mas
também automatizaram o processo de negociação das criptomoedas coletadas em
várias plataformas de negociação, como CRATEX ExchangeMarket, crex24 e Luno”.
A prevenção é possível
O Prisma Cloud da Palo Alto Networks é capaz de monitorar o uso de recursos de nuvem, especificamente aqueles lançados em um ambiente conteinerizado. A capacidade do Prisma Cloud de verificar todos os contêineres em busca de vulnerabilidades e uso indevido antes da implantação, bem como monitorar o tempo de execução.
Palo Alto Networks
www.paloaltonetworks.com
Nenhum comentário:
Postar um comentário