Mineurs de crypto-monnaie utilisant des comptes cloud piratés, prévient Google | Cybercriminalité
Les cyberhackers utilisent des comptes cloud compromis pour exploiter la crypto-monnaie, a averti Google.
Les détails du piratage minier sont contenus dans un rapport de l’équipe d’action de cybersécurité de Google, qui détecte les menaces de piratage contre son service cloud – un système de stockage à distance où Google stocke les données et les fichiers des clients hors site – et donne des conseils sur la façon de les combattre.
Les autres menaces identifiées par l’équipe dans son tout premier rapport « horizon des menaces » comprennent :
-
Les pirates de l’État russe tentent d’obtenir les mots de passe des utilisateurs en les avertissant qu’ils ont été ciblés par des attaquants soutenus par le gouvernement.
-
Des hackers nord-coréens se faisant passer pour des recruteurs de Samsung ; et l’utilisation d’un cryptage lourd dans les attaques de ransomware.
Le « minage » est le nom du processus par lequel les chaînes de blocs telles que celles qui sous-tendent les crypto-monnaies sont réglementées et vérifiées dans un processus qui nécessite une quantité importante de puissance de calcul. Google a signalé que sur 50 piratages récents de son service de cloud computing, plus de 80% ont été utilisés pour effectuer du minage de crypto-monnaie.
Le rapport indique que « 86% des instances Google Cloud compromises ont été utilisées pour effectuer du minage de crypto-monnaie, une activité à but lucratif gourmande en ressources cloud », ajoutant que dans la majorité des cas, le logiciel de minage de crypto-monnaie a été téléchargé dans les 22 secondes suivant le compte. étant compromis. Google a déclaré que dans les trois quarts des piratages dans le cloud, les attaquants avaient profité d’une mauvaise sécurité des clients ou de logiciels tiers vulnérables.
Les recommandations de Google à ses clients cloud pour améliorer leur sécurité incluent l’authentification à deux facteurs – une couche de sécurité supplémentaire en plus d’un nom d’utilisateur et d’un mot de passe génériques – et l’inscription au programme de sécurité pour le travail de l’entreprise.
Ailleurs dans le rapport, Google a déclaré que le groupe de piratage soutenu par le gouvernement russe APT28, également connu sous le nom de Fancy Bear, a ciblé 12 000 comptes Gmail dans une tentative de phishing massive, où les utilisateurs sont amenés à remettre leurs informations de connexion. Les attaquants ont tenté d’inciter les titulaires de compte à transmettre leurs coordonnées via un e-mail qui disait : « Nous pensons que des attaquants soutenus par le gouvernement peuvent essayer de vous tromper pour obtenir le mot de passe de votre compte. » Google a déclaré qu’il avait bloqué tous les e-mails de phishing dans l’attaque – qui se concentrait sur le Royaume-Uni, les États-Unis et l’Inde – et qu’aucun détail des utilisateurs n’avait été compromis.
Une autre ruse de piratage signalée par Google dans le rapport impliquait un groupe de pirates informatiques soutenu par la Corée du Nord se faisant passer pour des recruteurs chez Samsung, le conglomérat sud-coréen, et envoyant de fausses offres d’emploi aux employés d’entreprises sud-coréennes de sécurité de l’information. Les victimes ont ensuite été orientées vers un lien malveillant vers un malware stocké dans Google Drive, désormais bloqué
Google a également averti que le traitement des attaques de ransomware, où les fichiers et les données sur l’ordinateur d’un utilisateur sont cryptés par l’attaquant jusqu’à ce qu’un paiement soit effectué pour leur libération, est difficile car un cryptage lourd « rend la récupération des fichiers presque impossible sans payer pour l’outil de décryptage ”. Le rapport signale l’émergence de Black Matter, qu’il décrit comme une « formidable famille de ransomwares ».
Cependant, au début du mois, Black Matter a annoncé sa fermeture en raison de « pressions des autorités ». Les victimes de Black Matter incluent le groupe technologique japonais Olympus.
Le rapport de Google a déclaré : « Google a reçu des informations selon lesquelles le groupe de ransomware Black Matter a annoncé qu’il arrêterait ses opérations en raison de pressions extérieures. Jusqu’à ce que cela soit confirmé, Black Matter pose toujours un risque.