Tin tặc sử dụng tài khoản đám mây để khai thác tiền điện tử
Những kẻ tấn công đang khai thác các tài khoản đám mây có cấu hình kém để khai thác tiền điện tử, Google đã cảnh báo người dùng trong một báo cáo gần đây.
Khai thác tiền điện tử là một hoạt động đòi hỏi nhiều tính toán. Và khách hàng của Google Cloud có thể truy cập nó với một khoản chi phí. Tuy nhiên, các thợ đào hiện đang hack tài khoản Google Cloud cho mục đích khai thác.
Trong báo cáo có tiêu đề “Threat Horizons”, nhóm an ninh mạng của Google đã đánh giá các mối đe dọa khác nhau đối với người dùng Đám mây, cung cấp chi tiết về các vi phạm.
Báo cáo cũng cung cấp thông tin tình báo về mối đe dọa an ninh mạng cho người dùng đám mây. Mục đích là để cho phép họ “cấu hình tốt hơn môi trường và khả năng phòng thủ của họ theo cách cư xử cụ thể nhất cho nhu cầu của họ.”
Công cụ khai thác tiền điện tử tấn công tài khoản Google
Trong báo cáo, nhóm an ninh mạng đã phân tích 50 tài khoản Google Cloud bị xâm nhập gần đây. Và trong số đó, 86% có liên quan đến khai thác tiền điện tử. “Các tác nhân độc hại đã được quan sát thấy thực hiện khai thác tiền điện tử trong các phiên bản Đám mây bị xâm phạm,” Google viết.
Báo cáo cũng cho biết rằng trong phần lớn các sự cố này, các tin tặc đã tải phần mềm khai thác tiền điện tử xuống các tài khoản bị xâm phạm trong vòng 22 giây. Các cuộc tấn công đã được lên kịch bản và không thể ngăn chặn chúng theo cách thủ công. Ngoài ra, trong 10% các sự cố này, tin tặc đã quét các tài nguyên công khai khác trên Internet để xác định các hệ thống dễ bị tấn công. Trong khi 8% trường hợp, chúng tấn công các mục tiêu khác.
Tuy nhiên, theo báo cáo của nhóm an ninh mạng, các vụ tấn công khai thác tiền điện tử không phải là cuộc tấn công duy nhất.
Bob Mechler, Giám đốc Google Cloud của văn phòng Giám đốc An ninh Thông tin và Seth Rosenblatt, Biên tập viên Bảo mật Google Cloud, viết trong một bài đăng trên blog .
Các mối đe dọa khác đối với người dùng Google Cloud
Một mối đe dọa khác mà nhóm đã xác định là một cuộc tấn công lừa đảo của nhóm người Nga có tên APT28, hay Fancy Bear. Những kẻ tấn công đã nhắm mục tiêu vào 12.000 tài khoản Gmail trong một nỗ lực lừa đảo hàng loạt. Họ đã cố gắng lừa người dùng chuyển giao chi tiết đăng nhập của họ. Tuy nhiên, Google cho biết họ đã chặn tất cả các email lừa đảo và không có người dùng nào bị xâm phạm.
Báo cáo cũng chỉ ra một cuộc tấn công của một nhóm do chính phủ Triều Tiên hậu thuẫn. Nhóm hacker này đã đóng giả các nhà tuyển dụng của Samsung, gửi cơ hội việc làm giả cho nhân viên tại các công ty bảo mật thông tin của Hàn Quốc. Họ đã đính kèm một liên kết độc hại đến phần mềm độc hại được lưu trữ trong Google Drive. Google cho biết họ cũng đã chặn nó.
Một mối đe dọa khác đối với người dùng đám mây là các cuộc tấn công bằng ransomware, theo đó tin tặc mã hóa dữ liệu của người dùng cho đến khi họ trả tiền. Trong báo cáo, Google đề cập đến nhóm ransomware Black Matter đáng gờm. Và mặc dù tập đoàn này đã thông báo ngừng hoạt động vào đầu tháng này, Google vẫn tỏ ra thận trọng. “Google đã nhận được báo cáo rằng nhóm ransomware Black Matter đã thông báo rằng họ sẽ đóng cửa các hoạt động do áp lực từ bên ngoài. Cho đến khi điều này được xác nhận, Black Matter vẫn tiềm ẩn rủi ro ”.
Google quy một số cuộc tấn công này là do các phương pháp bảo mật kém của người dùng. Và cả những lỗ hổng trong phần mềm của bên thứ ba mà người dùng cài đặt.
Báo cáo cũng khuyến nghị một số cách để ngăn chặn các cuộc tấn công này. Một trong số đó là kích hoạt xác thực hai yếu tố.