Hackare använder Google Cloud för brytning av kryptovalutor

December 3, 2021 By Nick Andersson Inga kommentarer 5 minuter

Kryptovaluta fortsätter att skjuta i höjden i popularitet och värde, och det bjuder in illvilliga aktörer att stjäla värdefulla datorresurser för gruvdrift. Det är precis vad Google har varnat sin kund för i en ny rapport. Rapporten Hothorisonter publicerad av Cybersecurity Action Team på Google har avslöjat flera hot som dess forskare har identifierat, inklusive hackare som använder Google Cloud för Crypto Mining.

Google har också beskrivit säkerhetsåtgärder för kunder för att förhindra att detta händer.

Skaffa sig FastestVPN

Hur hackare använder Google Cloud för Crypto Mining

Google Cloud är en tjänst som låter utvecklare köpa datorresurser. Precis som webbhotell, där kunder köper en tjänst för webbhotell på internet, tillåter Google Cloud utvecklare att köpa datorresurser i molnet. Det tillåter vem som helst, särskilt småföretag, att hyra datorkraft utan att själva investera i att bygga sådana resurser.

Varje pool av datorresurser som är tillgängliga för en utvecklare kallas en instans. Utvecklare ansluter till sin instans för att arbeta med projekt enligt deras behov.

Google har avslöjat att skadliga aktörer fick tillgång till 50 Google Cloud-instanser i skadliga syften, och 86 % av dem användes för brytning av kryptovalutor. De övriga 10 % användes för att identifiera andra sårbara system kopplade till internet, och 8 % blev vektorer för att attackera andra mål. Det kan låta som något ur en hacker film, men det är på riktigt.

Hackare fick tillgång genom att utnyttja dålig säkerhetspraxis och sårbarheter i tredjepartsprogramvara i nästan 75 % av fallen. Kunderna som använde dessa instanser hade antingen inget lösenord eller ett svagt lösenord som autentiseringsuppgifter som gjorde det möjligt för hackare att skanna eller brute force kontona enkelt. Vi har alltid betonat vikten av ett starkt lösenord och hur andra säkerhetsmekanismer gillar Två-faktors autentisering (2FA) kan förhindra obehörig åtkomst.

Cryptomining är ett allvarligt hot

Kryptovalutor tävlar i människors intressen. Bitcoin och Ehtereum har vuxit avsevärt i värde under de senaste åren, och det har lockat till sig illvilliga aktörer som vill utnyttja datorresurser för brytning av kryptovaluta.

Gruvdrift hänvisar till processen att skaffa nya digitala mynt. Kryptovalutor som Bitcoin och Ethereum kan köpas eller förvärvas genom gruvdrift. Mining innebär att lösa komplexa matematiska funktioner för att bidra till blockchain-reskontran. I gengäld belönas de användare som är involverade i att validera transaktioner på blockkedjan med mynt. När mynt genereras ökar processen att generera nya mynt.

Det är en beräkningsintensiv uppgift som kräver lämplig hårdvara, som grafikkort och ASIC. Många människor har investerat i kryptovalutor genom att köpa dyr hårdvara som bryts efter digitala mynt 24/7. Men illvilliga aktörer kom på en väg runt att köpa dyr utrustning och elkostnader genom att hacka sig in i datorer över hela världen för att tyst bryta kryptovalutor.

Hackare installerar vanligtvis kryptomineringsprogramvara genom skadlig programvara, såsom trojaner. Användare som är infekterade med en kryptominer kommer att märka försämrad prestanda. Enheten kommer att kännas trög även under små uppgifter som att öppna en webbläsare. Cryptojacking hänvisar till kapning av en enhets resurser för brytning av kryptovaluta. Cryptominers syftar till att skapa ett botnät av infekterade datorer för distribuerade attacker; den ansluter till en kommando- och kontrollcentral (C&C) för att ta emot ytterligare instruktioner. Alla resurser används för att göra hackaren rik på kryptovaluta.

Google varnar för nätfiske och ransomware-attacker

Förutom försök till kryptojackning varnar Googles rapport även för statligt sponsrade Nätfiske Försök. Hackergruppen känd som Fancy Bear, som den ryska regeringen stöder, riktade in sig på mer än 12 tusen Gmail-användare genom en nätfiskekampanj.

Medan rubriken på e-postmeddelandet hela tiden ändrades, varnar e-postmeddelandets kropp användare om att angripare som stöds av regeringen kan försöka stjäla ditt lösenord genom att lura dig. E-postmeddelandet uppmanar användare att ändra sina lösenord och tar dem till en nätfiskesida som ser ut som Google. Angriparna får lösenordet när användaren anger det i fältet "aktuellt lösenord".

Googles team för hotanalys upptäckte att hackare med stöd av den nordkoreanska regeringen skickade falska jobbmail genom att utge sig för att vara rekryterare som arbetade på Samsung. E-postmeddelandet innehöll en PDF-fil med arbetsbeskrivningen, men filen var avsiktligt felaktig. Och när målet svarar att de inte kan öppna filen skickar angriparna en Google Drive-länk till en "Secure PDF Reader" som var en trojan. Google har sedan dess tagit bort skadlig programvara.

Googles forskargrupp har identifierat nya ransomware kallade Black Matter som nu finns i naturen. Ransomware är en typ av skadlig programvara som krypterar data på användarens enhet och kräver sedan lösensumma för att låsa upp data. Det är mycket effektivt eftersom krypteringen gör det omöjligt att återställa data utan att underkasta sig kraven. Denna ransomware är effektivare eftersom den använder tillgängliga CPU-trådar på offrets dator för att påskynda krypteringsprocessen. Rapporten noterar att Black Matter är mycket konfigurerbar ransomware. Angripare kan ladda upp stulna referenser till skadlig programvara för att ge den högre privilegier på enheten.

Slutsats

Ransomware är en av de mest destruktiva skadliga program på planeten. Det förlamade USA:s bränsleförsörjning i år genom att attackera de företag som är ansvariga för att leverera dem. Skadlig programvara levereras ofta via nätfiske. Att identifiera nätfiskeförsök är mycket viktigt för att förhindra skadliga attacker. En av de bästa säkerhetsrutinerna är att använda ett starkt lösenord och tvåfaktorsautentisering på varje konto.