Google advirtió en un informe esta semana sobre las actividades maliciosas que realizan los piratas informáticos que comprometen las cuentas de Google.
***
Los piratas informáticos están comprometiendo las cuentas del servicio de Google de almacenamiento en la nube, Google Cloud, para minar monedas digitales. Así lo advirtió el equipo de ciberseguridad de Google en un informe publicado esta semana.
Denominado “Threat Horizons“, el informe es el resultado de una investigación que buscaba evaluar las amenazas a las que están expuestos los usuarios de los principales servicios de Google y brinda un vistazo detallado de las actividades maliciosas que llevan a cabo los hackers a partir de cuentas comprometidas.
Entre los hallazgos, la investigación encontró que la mayoría de las cuentas “mal configuradas” de Google Cloud fueron aprovechadas por hackers para extraer criptomonedas. El equipo de ciberseguridad de Google dijo:
De las 50 instancias de GCP [Google Cloud Platform] comprometidas recientemente, el 86% de las cuentas de Google Cloud comprometidas se utilizaron para realizar minería de criptomonedas.
Los piratas informáticos utilizaron las cuentas de la nube comprometidas para acceder a los recursos de las CPU o GPU de las personas para extraer tokens o aprovechar el espacio de almacenamiento al extraer monedas en la red Chia.
Hackers instalaron virus de criptominería en 20 segundos
Además, el informe también llamó la atención sobre la velocidad de estos ataques. En la mayoría de las infracciones, el software de minería de criptomonedas se descargó dentro de los 22 segundos posteriores a la vulneración de la cuenta, indicó Google.
En este aspecto, el equipo sugirió que “los ataques iniciales y las descargas posteriores fueron eventos programados que no requerían intervención humana” y dijo que sería casi imposible intervenir manualmente para detener tales incidentes una vez que comenzaran.
Según el equipo de ciberseguridad, los atacantes informáticos generalmente obtuvieron acceso a las cuentas de la nube como resultado de “prácticas deficientes de seguridad del cliente” o “software vulnerable de terceros“. Sin embargo, el informe destacó que los ataques no se provocaron únicamente para minar criptomonedas, sino que también se desplegaron otras actividades maliciosas.
El hackeo de cuentas Google Cloud también sirvió como punto de partida para realizar otros ataques. El informe halló que el 10% de las cuentas comprometidas se utilizaron para realizar escaneos de otros recursos disponibles públicamente en Internet para identificar sistemas vulnerables. Mientras, el 8% de las instancias se utilizaron para atacar otros objetivos. También en algunos casos se realizaron múltiples actividades maliciosas desde una misma cuenta comprometida.
“Si bien el robo de datos no parecía ser el objetivo de estos compromisos, sigue siendo un riesgo asociado con los compromisos de los activos en la nube, ya que los malos actores comienzan a realizar múltiples formas de abuso”, señaló el equipo de ciberseguridad. “Las instancias públicas en la nube orientadas a Internet estaban abiertas al escaneo y a los ataques de fuerza bruta“.
Google revela otros ataques
Para evitar la vulnerabilidad de las cuentas, Google hizo una serie de recomendaciones a los usuarios de su servicio de nube optimizar sus medidas de seguridad. Entre ellas, sugirió la aplicación de la autenticación de dos factores, cambiar su contraseña por una más robusta y registrarse en el programa de seguridad laboral de la compañía.
Más allá de los ataques de criptominería dirigidos a Google Cloud, el informe también reveló otras amenazas de seguridad llamativas. La gigante de búsquedas dijo que el grupo de hackers APT28, presuntamente respaldado por el gobierno de Rusia, apuntó a 12.000 cuentas de Gmail en un intento masivo de phishing en el que los usuarios serían engañados para entregar sus datos de inicio de sesión.
El grupo de piratas informáticos, también conocido como Fancy Bear, intentó convencer a los titulares de las cuentas de correo para entregar sus datos a través de un mail que decía: “Creemos que los atacantes respaldados por el gobierno pueden estar tratando de engañarlo para obtener la contraseña de su cuenta“. Google aseguró que había bloqueado todos los correos electrónicos de phishing en el ataque, que se centró en el Reino Unido, Estados Unidos e India, y que no se habían comprometido los datos de los usuarios.
El informe también reveló otro truco de piratería que involucró a hackers norcoreanos que se hicieron pasar por reclutadores de Samsung. Los atacantes enviaron oportunidades de trabajo falsas a miembros de empresas de seguridad en Corea del Sur y luego dirigieron a las víctimas a un enlace malicioso de malware almacenado en Google Drive. Google indicó que ese enlace ya ha sido bloqueado.
Lecturas recomendadas
- Hackers aprovecharon brecha de seguridad en sistemas de GitHub para minar criptomonedas
- Robinhood revela que vivió un hackeo que expuso datos de 7 millones de usuarios
- Google levantará restricciones y permitirá tanto a exchanges como a servicios cripto publicar anuncios para EE UU
Fuentes: Informe de Google, Cointelegraph, The Guardian
Versión de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.