Un nou val de cryptojacking afectează utilizatorii AWS, fiind caracterizat de o metodă simplă, dar eficientă, de atac. În loc să exploateze vulnerabilități software, infractorii folosesc credențiale furate pentru a intra în conturi AWS și a lansa activități de minare a criptomonedelor. Această abordare a fost observată în mai multe conturi de clienți începând cu 2 noiembrie, vizând în special serviciile EC2 și ECS.

Atacatorii folosesc credențiale cu privilegii administrative pentru a lansa și configura resurse de cloud, precum instanțe EC2 și clustere ECS. O etapă importantă constă în testarea limitelor de servicii și permisiuni, pentru a evita detectarea timpurie a activității malițioase. Minerii, precum SBRMiner-MULTI, sunt implementați apoi pentru a consuma resurse și a genera costuri ridicate la victime.

Campania include tehnici de persistență, cum ar fi activarea opțiunii disable API termination pentru instanțe, pentru a evita eliminarea rapidă a resurselor compromise. De asemenea, se creează multiple clustere ECS și se folosesc auto scaling groups pentru a maximiza consumul de resurse. Crearea de funcții Lambda expuse public fără autentificare reprezintă o alte modalitate de menținere a accesului pe termen lung.

Pentru a proteja un cont AWS împotriva cryptojacking-ului, organizațiile trebuie să aplice măsuri precum utilizarea credențialelor temporare, limitarea drepturilor, implementarea autentificării multi-factor și monitorizarea alertelor pentru activități neobișnuite. Este esențială verificarea rapidă a resurselor create, pentru a identifica instantaneu cazul unei compromiteri.

Cryptojacking-ul prin credențiale furate reprezintă o amenințare în creștere, care poate genera pierderi financiare importante și afectează securitatea mediului cloud. Menținerea unui nivel ridicat de informare și monitorizare continuă sunt esențiale în fața acestor riscuri, pentru a preveni impactul și a limita pagubele.