Su 50 account Google Cloud compromessi di recente l’86% è stato utilizzato per eseguire mining di criptovaluta. E’ uno dei dati diffusi dal gigante di Mountain View per mezzo di “Threat horizons”, report che mira a fornire informazioni per aiutare le organizzazioni nella protezione dei propri ambienti cloud. Secondo Google, i minatori di criptovaluta utilizzano account Google Cloud compromessi proprio per scopi di mining, attività che spesso richiede grandi quantità di potenza di calcolo, cui i clienti di Google Cloud possono accedere a un determinato costo. Il Bitcoin, la criptovaluta più popolare al mondo, è stata non a caso criticata per essere troppo energivora: il mining di bitcoin utilizza infatti più energia di alcuni interi Paesi.
Nella maggior parte dei casi, secondo i dati diffusi da Google, il software di mining di criptovaluta è stato scaricato entro 22 secondi dalla violazione dell’account. Circa il 10% degli account compromessi è stato utilizzato anche per eseguire scansioni di altre risorse disponibili pubblicamente su Internet per identificare i sistemi vulnerabili, mentre l′8% delle istanze è stato utilizzato per attaccare altri obiettivi.
Accessi senza password o con password debole
Google ha affermato che gli attori malintenzionati sono stati in grado di accedere agli account Google Cloud sfruttando le cattive pratiche di sicurezza dei clienti. Quasi la metà degli account compromessi è stata attribuita ad attori che hanno avuto accesso a un account Cloud con connessione a Internet senza password o con una password debole. Di conseguenza, questi account Google Cloud potrebbero essere facilmente scansionati e brutalmente forzati. Circa un quarto degli account compromessi era dovuto a vulnerabilità nel software di terze parti installato dal proprietario.
Minacce di vario genere, dal phishing all’invio di allegati dannosi
Ma i “threats” per gli account cloud non si esauriscono qui: “Il panorama delle minacce cloud nel 2021 va ben oltre i semplici minatori di criptovaluta”, hanno scritto Bob Mechler, direttore dell’ufficio del responsabile della sicurezza delle informazioni di Google Cloud, e Seth Rosenblatt, redattore della sicurezza di Google Cloud. Secondo quanto riferito, Google ha anche bloccato un attacco di phishing da parte del gruppo russo APT28/Fancy Bear alla fine di settembre. Inoltre i ricercatori di Google hanno identificato un gruppo sostenuto dal governo nordcoreano che si spacciava per reclutatori Samsung allo scopo di inviare allegati dannosi ai dipendenti di diverse società di sicurezza informatica anti-malware sudcoreane.