EleKtra-leak utiliza la automatización para expandir sus ataques de 'cryptojacking'
La campaña, que lleva más de dos años activa, explota las credenciales IAM de AWS expuestas en GitHub.
El equipo de investigación Unit 42 de Palo Alto Networks ha seguido la pista de EleKtra-leak, una campaña maliciosa, activa desde hace más de dos años, que utiliza la automatización en la nube para ampliar sus ataques de cryptojacking. Esto lo hace a través de la segmentación automatizada de las credenciales de administración de identidades y accesos (IAM) de AWS expuestas dentro de los repositorios públicos de GitHub, lo que le permitió “crear múltiples instancias de AWS Elastic Compute (EC2) que utilizaron para operaciones de cryptojacking de amplio alcance y larga duración”, dijo la compañía en un comunicado.
Según Palo Alto, los atacantes lograron detectar y utilizar las credenciales de IAM expuestas dentro de los cinco minutos posteriores a su exposición inicial en GitHub, lo que demuestra “cómo los actores de amenazas pueden aprovechar las técnicas de automatización en la nube para lograr sus objetivos de expandir sus operaciones de cryptojacking".
Para hacer el seguimiento, el equipo de Unit 42 utilizó el proyecto HoneyCloud de Prisma Cloud Security, un entorno en la nube diseñado para monitorear y rastrear cualquier operación maliciosa y recopilar inteligencia sobre los posibles escenarios de ruta de ataque y operaciones de hackers.
En este entorno, entre el 30 de agosto y el 6 de octubre de 2023, se pudieron identificar 474 mineros únicos que eran instancias de Amazon EC2 potencialmente controladas por actores. Los investigadores, no obstante, no lograron rastrear la cifra exacta de cuánto ganaron los hackers, porque la criptomoneda minada fue Monero, que cuenta con controles de privacidad.
Con herramientas automatizadas, los actores maliciosos clonaron continuamente repositorios públicos de GitHub y buscaron credenciales de IAM de AWS expuestas, además de bloquear aquellas cuentas que exponen rutinariamente las credenciales de IAM en “un esfuerzo por evitar que los investigadores de seguridad sigan sus operaciones. Es posible que los actores de amenazas los hayan percibido como trampas muy obvias”, continuó el comunicado.
“Para contrarrestar esta operación de protección, se automatizó la creación de cuentas aleatorias de AWS y de usuario con credenciales de IAM dirigidas y excesivamente permisivas. Esto le permitió a Unit 42 seguir los movimientos del actor. El equipo de ciberseguridad confirmó esta información en un repositorio de GitHub generado aleatoriamente que expuso públicamente las credenciales de IAM del investigador”, detalló la compañía.
