Hackers exploram credenciais da AWS expostas no GitHub para realizar ataques de cryptojacking

Patch Tuesday Microsoft 118 vulnerabilidades

Uma nova campanha de ataques batizada de Elektra-Leak foi identificada com o objetivo de obter credenciais do AWS IAM (Identity and Access Management) expostas em repositórios públicos do GitHub para facilitar atividades de cryptojacking, de acordo com pesquisadores da Palo Alto Networks.

Exploração:

Os invasores estão usando scanners automatizados para vasculhar o GitHub em busca de credenciais expostas e, em questão de minutos, conseguem obter as chaves para criar diversas instâncias EC2 na AWS destinadas à mineração de criptomoedas como o Monero.

Entre agosto e outubro, foram identificadas mais de 470 instâncias EC2 únicas envolvidas na mineração, o que demonstra a velocidade e escala dos ataques. A rapidez, obtendo credenciais em até 4 minutos após exposição no GitHub, indica o uso de ferramentas automatizadas pelos invasores.

Além disso, os hackers conseguem driblar proteções como a política AWSCompromisedKeyQuarantine, que deveria bloquear o uso de credenciais comprometidas na AWS. Não está claro como eles burlam tais mecanismos de segurança.

Após obter credenciais válidas, fazem reconhecimento da conta, criam grupos de segurança e disparam diversas instâncias EC2 escondidas por VPN para iniciar a mineração. Utilizam tipos poderosos de instância como a c5a.24xlarge para maximizar a mineração.

O Monero é o criptoativo preferido devido às proteções de privacidade que dificultam o rastreamento de carteiras e valores obtidos.

Como mitigar o risco de  ataque?

  • Evite expor acidentalmente suas credenciais no GitHub.
  • Caso ocorra uma exposição acidental, revogue imediatamente as chaves expostas.
  • Remova as credenciais expostas do repositório GitHub.
  • Audite os eventos de clonagem do repositório para identificar rápido qualquer operação suspeita.
  • Utilize credenciais de curta duração para reduzir riscos de comprometimento.

Conclusão:

Essa campanha destaca a importância de proteger adequadamente credenciais em ambientes de desenvolvimento e repositórios de código para evitar exploração por invasores, mesmo que as chaves sejam expostas por pouco tempo. Automação, vigilância constante e correção rápida são cruciais para mitigar esse tipo de ameaça.

Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui

Compartilhe a postagem:

Posts relacionados

Assine nossa newsletter