Amazon ha identificado una nueva operación de minería de criptomonedas en su plataforma AWS. La campaña explota credenciales IAM robadas y abusa de servicios como ECS y EC2. Los atacantes usan protección contra terminación para mantener la persistencia.
Amazon Web Services (AWS) ha divulgado detalles de una importante campaña de minería de criptomonedas dirigida a su infraestructura. La operación depende de credenciales comprometidas de Identity and Access Management (IAM) para obtener acceso no autorizado. Una vez dentro, los atacantes despliegan actividades de minería mediante instancias de Elastic Container Service (ECS) y Elastic Compute Cloud (EC2).
Para asegurar su longevidad, los actores maliciosos activan la protección contra terminación en las instancias comprometidas, impidiendo los apagados sencillos. Este mecanismo de persistencia permite que la minería continúe sin detección durante períodos prolongados. AWS enfatiza que estos abusos resaltan la importancia de proteger las credenciales IAM para salvaguardar los entornos en la nube.
La campaña representa una tendencia creciente en el cryptojacking, donde se secuestran recursos informáticos no autorizados para minar monedas digitales. A las organizaciones que usan AWS se les recomienda monitorear actividades inusuales en sus políticas IAM y configuraciones de instancias. El informe no proporciona una línea temporal específica ni detalles de víctimas, pero el incidente subraya los desafíos continuos de ciberseguridad en la computación en la nube.
