Un nou val de „cryptojacking” afectează utilizatorii AWS printr-o metodă simplă, dar eficientă: atacatorii nu exploatează vulnerabilități tehnice, ci utilizează date de acces furate. Odată obținute credențiale valide AWS Identity and Access Management (IAM), cu privilegii de administrator, aceștia încep să consume resurse cloud pentru minerit de criptomonede, lăsând factura asupra victimelor.

Operațiunea, detectată în mai multe conturi de clienți, s-a inițiat pe 2 noiembrie și vizează în special serviciile de procesare și orchestrare: Elastic Compute Cloud (EC2) și Elastic Container Service (ECS). În anumite cazuri, minerii sunt activați doar câteva minute după compromitere, evidențiind automatizarea întregului lanț de atac. Pentru multe organizații, acest lucru înseamnă că timpul pentru reacție este extrem de redus: fără alerte și controale eficiente, problema poate fi identificată doar după un creștere bruscă a costurilor.

Spre deosebire de scenariile tradiționale în care un infractor exploatează vulnerabilități software, aici „cheia” este accesul legitim detinut prin credențiale IAM compromise, cu privilegii de tip administrator. Cu astfel de drepturi, atacatorii pot iniția instanțe, crea cluster-uri, modifica configurări și implementa rapid componente pentru minare, fără restricții.

Un aspect important al tacticii este etapa de verificare, realizată într-un mod care minimizează riscul de a fi detectați prematur. După accesul în cont, atacatorii verifică limitele de serviciu EC2 (service quotas), pentru a estima câte instanțe pot porni. Ulterior, testează permisiunile folosind API-ul RunInstances cu opțiunea DryRun activată, pentru a confirma dacă pot lansa resurse fără a genera costuri imediate sau suspiciuni.

Abia după confirmarea accesului permis, aceștia implementează software-ul de minat, precum SBRMiner-MULTI, instalat atât în ECS, cât și pe instanțe EC2. Utilizarea ambelor servicii asigură flexibilitate și control ușor, dar și scalare masivă de resurse. Pentru victimă, rezultatele se traduc prin suplimentări rapide de utilizare CPU/GPU, apariție „peste noapte” a instanțelor, crește a numărului de clustere și facturi neprevăzute.

Tehnici utilizate pentru persistenta și escaladare

Atacatorii nu se limitează la lansarea rapidă a minerilor, ci implementează și strategii pentru a prelungi această activitate fără a fi detectați. Potrivit informațiilor disponibile, campania include metode de persistenta menite să complice remedierea și să extindă perioada de minare „gratuită”.

Un exemplu este activarea setării disable API termination pe instanțe, utilizând API-ul ModifyInstanceAttribute. Această opțiune, activată, împiedică terminarea instanțelor prin API în mod obișnuit. Deși instanțele pot fi șterse, procesul necesită pași suplimentari pentru a reactiva posibilitatea de terminare, prelungind astfel timpul de funcționare al minerilor. În cazul unui incident real, acest pas poate însemna ore sau zile suplimentare de activitate, mai ales în medii birocratice sau cu echipe de intervenție fragmentate.

De asemenea, atacatorii creează zeci de clustere ECS, uneori peste 50, pentru a spori capacitatea de minare și a complica investigația. Resursele dispersate fac dificilă identificarea și eliminarea completă, mai ales în medii complexe și utilizate de multiple proiecte.

Pe EC2, se utilizează auto scaling groups pentru a maximiza utilizarea resurselor și a cotei alocate. Această funcție, destinată rezilienței și elasticității, devine un multiplicator al pagubei, menținând activă minarea semnificativ chiar și după oprirea manuală a unor instanțe.

Un alt mecanism de persistență identificat include crearea unei funcții AWS Lambda expuse public, fără autentificare, prin intermediul unui Lambda Function URL. Acest canal poate permite atacatorului să-și păstreze accesul, chiar dacă sunt blocate alte puncte de intrare, fiind dificil de detectat fără monitorizare specializată asupra funcțiilor Lambda și endpoint-urilor publice.

Cum să protejezi contul AWS împotriva cryptomining-ului ilegal

Atunci când atacul se bazează pe credențiale furate, protecția începe de la nivelul identității. Utilizarea de utilizatori IAM cu privilegii extinse și chei de acces pe termen lung crește riscul ca o singură scurgere să compromită întregul mediu. Reducerea suprafeței de atac se face utilizând credențiale temporare acolo unde este posibil, în loc de chei de acces persistente, și limitând strict numărul de conturi cu drepturi administrative.

Implementarea autentificării multi-factor (MFA) pentru toți utilizatorii reprezintă un element esențial de securitate. Chiar dacă parola este compromisă, MFA poate preveni intrarea inițială în sistem. La fel de vital este aplicarea principiului „least privilege”: acordarea fiecărui rol doar a permisiunilor strict necesare, pentru a preveni lansarea accidentală sau intenționată a resurselor sensibile în cazul unui cont compromis.

În domeniul detectării, este recomandat să fie active alerte pentru activități neobișnuite, cum ar fi creșteri rapide ale costurilor, lansări neașteptate de instanțe, crearea masivă de cluster-uri ECS, apeluri repetate către API-uri esențiale sau modificări ale configurațiilor de securitate, precum disable API termination. În mediile enterprise, diferența dintre descoperirea unei probleme după o săptămână și în câteva minute poate însemna diferența între pierderi minime și costuri semnificative.

În cazul unui incident, verificarea rapidă a instanțelor cu protecție la terminare activată și a resurselor create pentru acces persistent, precum funcțiile Lambda expuse public, este esențială. Neglijarea acestor elemente poate determina ca minerii să fie opriți, dar mecanismele de reactivare sau reintroducere să rămână active, facilitând o reluare a activităților malițioase.

Această campanie evidențiază cât de rapid poate fi monetizat un cont cloud compromis: nu este vorba despre furt de date sau răspândire de ransomware, ci despre transformarea infrastructurii într-o mină de criptomonede, consumând bugetele organizației aproape instantaneu după acces. Într-o lume în care automatizarea domnește peste procese, și infractorii utilizează metode automate, chiar împotriva ta.