Imagen cortesía de techaeris.com
Investigadores de seguridad informática pertenecientes a la compañía de Cado Security detectaron un virus de minería de criptomonedas que logró robar credenciales de los servicios Web de Amazon. Posteriormente utilizó recursos de la empresa para minar Monero (XMR) en beneficio de los atacantes.
Cado Security califica el ataque como “relativamente poco sofisticado”. Los responsables del cibercrimen, que operan bajo el nombre TeamTNT, minaron cerca de 3 XMR. Al momento de redacción de este artículo, cada XMR vale USD 91,5, lo que arroja un botín total de casi 300 dólares.
El informe indica que los hackers reciclaron el código de otro virus, Kinsing, que fue diseñado para atacar la nube de la compañía Alibaba. Así lograron comprometer 119 sistemas de Amazon para lograr su cometido.
En este caso, los atacantes utilizaron la herramienta de minería XMRig, que data de 2017, y el pool MoneroOcean.
Cado Security brindó recomendaciones a Amazon, entre ellas se encuentra identificar en qué sistemas se almacenan archivos de credenciales y eliminarlos si no son necesarios, junto con utilizar cortafuegos para limitar cualquier acceso a las API de Docker (proyecto de código abierto que automatiza el despliegue de aplicaciones dentro de contenedores de software).
Finalmente, también se recomendó revisar el tráfico de la red en busca de conexiones a grupos de minería, mencionando que sería beneficioso revisar toda conexión que envíe el archivo de credenciales de los servicios web de Amazon a través del protocolo HTTP.
