Google: Cloud accounts worden gebruikt voor crypto mining

Een cyber beveiligingsrapport van Google heeft alarmerende statistieken onthuld. Gecompromitteerde Google Cloud accounts worden gebruikt voor het delven van cryptocurrency.

Threat Horizons

Online aanvallen zijn zeer prominent geworden. Ze omvatten het misbruik van cryptocurrency mining, phishing campagnes en bijvoorbeeld ransomware.

Het Cybersecurity Action Team van Google heeft de eerste uitgave van Threat Horizons vrijgegeven. Het rapport is gebaseerd op waarnemingen van dreigingen. 

86% van de Cloud accounts

De informatie in het rapport is afkomstig van de Threat Analysis Group, Google Cloud Threat Intelligence for Chronicle, Trust and Safety en andere interne teams. Het rapport merkte daar het volgende over op:

“Van de 50 gecompromitteerde accounts werd 86% gebruikt voor crypto mining. Een Cloud resource intensieve for-profit activiteit welke typische CPU/GPU bronnen verbruikte. Of opslagruimte in het geval van Chia mining.”

Cloud voor illegale crypto mining

10% van de gecompromitteerde accounts wordt gebruikt voor het uitvoeren van scans voor openbaar beschikbare bronnen. Dit om kwetsbare systemen te kunnen identificeren. 

8% van de gehackte accounts worden gebruikt voor het aanvallen van andere doelwitten. De statistieken werpen een licht op de mogelijke redenen.  

48% van de gecompromitteerde accounts wordt toegeschreven aan actoren die toegang hebben tot de Cloud. Deze hebben bijvoorbeeld een zwak wachtwoord of API-verbinding.

Phishing en ransomware

De genoemde kwaadaardige activiteiten zijn geen nieuw fenomeen. Het Cloud platform heeft steeds vaker te maken met phishing campagnes en ransomware.

“Aanvallers blijven slecht geconfigureerde accounts exploiteren. Dit om winst te behalen via crypto mining en het blijven aanvoeren van verkeer. Ransomware blijft zich ook uitbreiden. Nieuwe soorten ransomware lijken uitlopers te zijn van bestaande malware met diverse mogelijkheden.”

Ook tijd speelt een belangrijke rol bij het compromitteren van de Cloud accounts. Het uitrollen van een kwetsbaar account én het compromitteren daarvan neemt 30 minuten tijd in beslag.  

Bovendien worden 58% van de hacks binnen crypto mining software na het compromitteren binnen 22 seconden gedownload. 

Handmatig ingrijpen bijna onmogelijk

De eerste aanvallen en de daarop volgende downloads zijn gescripte gebeurtenissen. Daar is geen menselijke tussenkomst voor nodig. Het rapport stelt: 

“Het is bijna onmogelijk om handmatig in te grijpen om deze situaties te voorkomen. De beste verdediging is om een kwetsbaar systeem niet in te zetten of het gebruik van geautomatiseerde reactiemechanismen.”

Connectie met Rusland

De door de Russische overheid gesteunde hackersgroep Fancy Bear viel bij een phishing aanval ruim 12.000 Gmail accounts aan. Deze fraudeurs sturen erop aan om de inloggegevens te wijzigen op phishing pagina’s.

Bij een andere vorm van hacking deed een door Noord-Korea gesteunde hackersgroep zich voor als recruiters bij Samsung. Zij stuurde nep vacatures naar werknemers van Zuid-Koreaanse informatie beveiligingsbedrijven.

In een ander recent rapport wordt gesproken over oplichters die YouTube video’s compromitteren. Zij hebben alleen al in oktober ten minste 8,9 miljoen dollar verdiend met het weggeven van valse cryptocurrencies.

Het inbouwen van twee-factor authenticatie om de beveiliging te verbeteren moet een prioriteit zijn. Zeker gezien de sterke toename van deze kwaadaardige activiteiten.