Google dit que les gens piratent des comptes cloud pour extraire de la crypto-monnaie

Google a publié ce mois-ci son premier rapport Threat Horizons détaillant les menaces de piratage contre son service cloud.

Le service cloud de Google est un ensemble de services informatiques à distance qui peuvent inclure le stockage des données et des fichiers des clients hors site.

Le rapport de l’équipe d’action de cybersécurité de Google a révélé que les pirates effectuaient du minage de crypto-monnaie, une activité à but lucratif et gourmande en ressources dans le cloud, au sein de comptes Google Cloud piratés.

L’extraction de bitcoins est le processus consistant à ajouter plus de bitcoins à l’écosystème de la monnaie numérique. Des bitcoins supplémentaires sont ajoutés via un processus de calcul appelé minage. Cela se fait en laissant le matériel informatique calculer des équations mathématiques complexes.

Pour s’assurer qu’il n’y a pas plus de pièces générées chaque jour que prévu à l’origine, le processus de minage est lié à un niveau de difficulté qui monte et descend en fonction du nombre de mineurs en compétition pour les blocs de réseau.

Selon le rapport, sur les 50 instances Google Cloud Platform (GCP) récemment compromises, 86 % ont été utilisées pour effectuer du minage de crypto-monnaie.

De plus, 10 % des instances Cloud compromises ont été utilisées pour analyser d’autres ressources accessibles au public sur Internet afin d’identifier les systèmes vulnérables, et 8 % des instances ont été utilisées pour attaquer d’autres cibles.

Google a récemment lancé son équipe d’action en matière de cybersécurité, afin d’utiliser davantage ses capacités de sécurité et ses services de conseil pour renforcer les défenses des clients.

« Des pirates malveillants exploitent des instances cloud mal sécurisées pour télécharger un logiciel d’extraction de crypto-monnaie sur le système, parfois dans les 22 secondes suivant la compromission », indique le rapport.

Selon Google, dans les trois quarts des piratages dans le cloud, les pirates avaient profité d’une mauvaise sécurité des clients ou de logiciels tiers vulnérables.

Les autres menaces identifiées par l’équipe incluent des pirates informatiques russes qui tentent d’obtenir les mots de passe des utilisateurs à l’aide d’une campagne de phishing Gmail, des pirates informatiques nord-coréens se faisant passer pour des recruteurs d’emplois Samsung et un nouveau logiciel de rançon appelé Black Matter utilisé pour extorquer de l’argent aux victimes.

Dans la majorité des cas, le logiciel d’extraction de crypto-monnaie a été téléchargé dans les 22 secondes suivant la compromission du compte.

Citant ces cybermenaces, Google a recommandé à ses clients cloud d’améliorer leur sécurité en incluant une authentification à deux facteurs – une couche de sécurité supplémentaire en plus d’un nom d’utilisateur et d’un mot de passe génériques – et en s’inscrivant au programme de sécurité au travail de l’entreprise.

Le rapport détaille le groupe de piratage soutenu par le gouvernement russe APT28, également connu sous le nom de Fancy Bear, qui a ciblé 12 000 comptes Gmail dans une tentative de phishing.

Les attaquants ont utilisé des modèles similaires aux alertes d’attaque soutenues par le gouvernement pour inciter les utilisateurs à modifier leurs informations d’identification sur la page de phishing de l’attaquant. Cependant, Google a bloqué ces messages, principalement destinés au Royaume-Uni, aux États-Unis et à l’Inde, et aucun détail des utilisateurs n’a été compromis.

Le rapport a également mis en évidence une arnaque impliquant un groupe de pirates informatiques soutenu par la Corée du Nord se faisant passer pour des recruteurs chez Samsung, envoyant de fausses offres d’emploi à des employés d’entreprises sud-coréennes de sécurité de l’information. Les victimes ont été dirigées vers un lien vers un malware stocké dans un Google Drive, qui a depuis été bloqué.

Les ransomwares étaient également une autre menace importante détectée par Google, où l’attaquant détient les fichiers et les données de la victime en otage à l’aide du cryptage jusqu’à ce qu’un paiement soit effectué.

Google a averti les utilisateurs d’un ransomware relativement nouveau appelé Black Matter, qui pourrait être une progéniture immédiate de DarkSide, qui a été utilisé pour cibler plusieurs grandes organisations à revenus élevés en tenant en otage leurs données sensibles.

Black Matter est capable de crypter des fichiers sur le disque dur et le réseau d’une victime en peu de temps et ses victimes incluent le groupe technologique japonais Olympus.

Google a déclaré que la gestion des attaques de ransomware était difficile car le cryptage lourd « rend la récupération des fichiers presque impossible sans payer pour l’outil de décryptage ».

Le rapport a indiqué qu’il avait reçu des informations selon lesquelles le groupe de ransomware Black Matter arrêterait ses opérations en raison de pressions extérieures, mais cela reste à confirmer.

« Compte tenu de ces observations spécifiques et de ces menaces générales, les organisations qui mettent l’accent sur la mise en œuvre sécurisée, la surveillance et l’assurance continue réussiront mieux à atténuer ces menaces ou à tout le moins à réduire leur impact global », a déclaré Google.

Bien que le vol de données ne se soit pas produit dans ces cas, le géant de la technologie considérait toujours qu’il s’agissait d’un risque de piratage dans le cloud « car les mauvais acteurs commencent à commettre de multiples formes d’abus ».

Google vise à publier des rapports de renseignements sur les menaces comme celui-ci à l’avenir, qui fournissent une analyse de l’horizon des menaces, un suivi des tendances et des annonces d’alerte précoce sur les menaces émergentes nécessitant une action immédiate.

PLUS : Les avocats de Tolkien bloquent la crypto-monnaie en utilisant le nom de l’auteur du Seigneur des Anneaux

PLUS : Tfl exhorté à interdire les publicités « contraires à l’éthique » sur les tubes de crypto-monnaie