cryptojacking în cloud devine o amenințare reală pentru utilizatorii AWS, deoarece atacatorii exploatează credențiale IAM compromise pentru a lansa minerii de criptomonede. Începând cu 2 noiembrie, grupuri de infractori au utilizat acces administrativ în conturi AWS și au consumat resurse EC2 și ECS, lăsând facturi mult peste normal.

Metoda de acces prin credențiale IAM compromise
Atacatorii nu sparg vulnerabilități software; ei obțin date de acces valide IAM cu drepturi de tip administrator. Prin aceste credențiale pot crea și modifica orice resursă AWS, inclusiv instanțe EC2 și clustere ECS. Accesul legitim facilitează lansarea rapidă a minerului fără să declanșeze alerte de securitate.

Verificarea limitelor de serviciu și DryRun API
După intrarea în cont, hackerii consultă service quotas pentru EC2, pentru a determina numărul maxim de instanțe permis. Folosesc apoi comanda RunInstances cu opțiunea DryRun, confirmând permisiunile fără a porni efectiv resursele. Această fază reduce riscul de a fi detectați devreme.

Implementarea minerului SBRMiner‑MULTI pe EC2 și ECS
Odată confirmat accesul, atacatorii instalează software de minare SBRMiner‑MULTI în containere ECS și pe instanțe EC2. Utilizarea ambelor servicii permite scalare rapidă și consum masiv de CPU/GPU. Facturile cresc brusc, iar utilizarea resurselor devine nejustificată.

Tehnici de persistență și escaladare în AWS
Pentru a menține minerii activi, infractorii activează disable API termination pe instanțe EC2. Această setare împiedică terminarea prin API și necesită pași suplimentari pentru curățare. În plus, creează numeroase clustere ECS (peste 50 în unele atacuri) și grupuri Auto Scaling pentru a replica automat resursele.

Scopul auto scaling și grupurile ECS în amplificarea daunelor
Auto Scaling groups sunt configurate să mențină un număr fix de instanțe, repornind automat minerii șterși manual. Clusterele ECS multiple distribuie sarcina de minare și complică investigația. Astfel, atacul poate continua ore sau zile dacă nu este detectat rapid.

Puncte de acces persistent prin funcții Lambda publice
Unele victime au găsit funcții AWS Lambda expuse prin Lambda Function URL fără autentificare. Aceste endpointuri reprezintă “uși” de intrare permanente, permițând reîntrarea atacatorului chiar și după blocarea altor căi. Monitorizarea funcțiilor Lambda devine esențială.

Recomandări de securitate pentru conturile AWS
– Folosiți MFA obligatoriu pentru toate conturile IAM.
– Limitați privilegii admin doar la utilizatorii necesari.
– Înlocuiți cheile de acces permanente cu credențiale temporare (STS).
– Implementați principiul „least privilege” pentru roluri IAM.
– Configurați alerte pentru creșteri bruște de cost, lansări neobișnuite EC2 și clustere ECS.

Detectarea timpurie și răspunsul rapid
Monitorizați metrici de utilizare CPU/GPU și volume de trafic în cont. Verificați imediat existența atributului disable API termination și a funcțiilor Lambda publice. O intervenție rapidă poate limita costurile generate de cryptojacking.

În ultimă instanță, campania evidențiază cum accesul legitim prin IAM poate transforma rapid o platformă AWS într-o mină de criptomonede. Informarea continuă și monitorizarea constantă a activităților cloud rămân esențiale pentru a preveni exploatarea resurselor și pentru a controla costurile.