Google advirtió en un informe de esta semana sobre actividades maliciosas llevadas a cabo por piratas informáticos que comprometen las cuentas de Google.

Los piratas informáticos están comprometiendo las cuentas del servicio de almacenamiento en la nube de Google, Google Cloud, para extraer monedas digitales. Así lo advirtió el equipo de ciberseguridad de Google en un informe publicado esta semana.

Denominado "Threat Horizons", el informe es el resultado de una investigación que buscó evaluar las amenazas a las que están expuestos los usuarios de los principales servicios de Google y brinda una visión detallada de las actividades maliciosas llevadas a cabo por piratas informáticos desde cuentas comprometidas.

Entre los hallazgos, la investigación encontró que la mayoría de las cuentas de Google Cloud "mal configuradas" fueron explotadas por piratas informáticos para extraer criptomonedas. El equipo de ciberseguridad de Google dijo:

De las 50 instancias de GCP [Google Cloud Platform] comprometidas recientemente, el 86% de las cuentas de Google Cloud comprometidas se utilizaron para la minería de criptomonedas.

Los piratas informáticos utilizaron cuentas en la nube comprometidas para acceder a los recursos de CPU o GPU de las personas para extraer tokens o aprovechar el espacio de almacenamiento al extraer monedas en la red de Chia.

Además, el informe también llamó la atención sobre la velocidad de estos ataques. Para la mayoría de las infracciones, el software de minería de criptomonedas se descargó dentro de los 22 segundos posteriores a la infracción de la cuenta, dijo Google. 

Al respecto, el equipo sugirió que "los ataques iniciales y las descargas posteriores eran eventos programados que no requerían intervención humana" y dijo que sería casi imposible intervenir manualmente para detener este tipo de incidentes una vez que comenzaran.

Según el equipo de ciberseguridad, los atacantes cibernéticos generalmente obtuvieron acceso a cuentas en la nube como resultado de "prácticas deficientes de seguridad del cliente" o "software de terceros vulnerable". Sin embargo, el informe destacó que los ataques no solo fueron provocados para minar criptomonedas, sino que también se desplegaron otras actividades maliciosas.

El hackeo de cuentas de Google Cloud también sirvió como punto de partida para otros ataques. El informe encontró que el 10% de las cuentas comprometidas se utilizaron para escanear otros recursos disponibles públicamente en Internet para identificar sistemas vulnerables. Mientras tanto, el 8% de las instancias se utilizaron para atacar a otros objetivos. Además, en algunos casos, se llevaron a cabo múltiples actividades maliciosas desde la misma cuenta comprometida.

"Si bien el robo de datos no parecía ser el objetivo de estos compromisos, sigue siendo un riesgo asociado con los compromisos con los activos de la nube, ya que los malos actores comienzan a participar en múltiples formas de abuso", señaló el equipo de ciberseguridad. . "Las instancias de nube pública orientadas a Internet estaban abiertas al escaneo y los ataques de fuerza bruta".

Para evitar la vulnerabilidad de las cuentas, Google hizo una serie de recomendaciones a los usuarios de su servicio en la nube para optimizar sus medidas de seguridad. Entre ellos, sugirió aplicar la autenticación de dos factores, cambiar su contraseña por una más sólida y registrarse en el programa de seguridad laboral de la empresa.

Más allá de los ataques de minería criptográfica dirigidos a Google Cloud, el informe también reveló otras amenazas de seguridad llamativas. El gigante de las búsquedas dijo que el grupo de hackers APT28, supuestamente respaldado por el gobierno ruso, apuntó a 12.000 cuentas de Gmail en un intento de phishing masivo en el que los usuarios serían engañados para que entregasen sus datos de inicio de sesión.

El grupo de piratas informáticos, también conocido como Fancy Bear, intentó convencer a los titulares de cuentas de correo electrónico de que entregaran sus datos a través de un correo electrónico que decía: "Creemos que los atacantes respaldados por el gobierno pueden estar intentando engañarte para que obtengas la contraseña de tu cuenta". Google afirmó que había bloqueado todos los correos electrónicos de phishing en el ataque, que tenía como objetivo el Reino Unido, Estados Unidos e India, y que los datos del usuario no se habían visto comprometidos.

El informe también reveló otro truco de piratería que involucró a piratas informáticos norcoreanos que se hicieron pasar por reclutadores de Samsung. Los atacantes enviaron oportunidades de trabajo falsas a miembros de empresas de seguridad en Corea del Sur y luego dirigieron a las víctimas a un enlace de malware malicioso almacenado en Google Drive. Google indicó que este enlace ya ha sido bloqueado.

Fuentes: Informe de Google, Cointelegraph, The Guardian

Versión de Hannah Estefanía Pérez / DiarioBitcoin