Un nou val de cryptojacking lovește utilizatorii AWS, exploatând credențiale IAM furate pentru a lansa miner de criptomonede în mediul cloud, iar costurile cresc abrupt pe facturile victimelor.
Detalii campanie AWS cryptojacking
Începând cu 2 noiembrie, atacatorii au folosit conturi IAM cu privilegii de tip administrator pentru a porni instantaneu resurse EC2 și clustere ECS. Operaţiunea este complet automatizată: după obţinerea accesului, minerul este lansat în câteva minute, iar factura apare la client în aceeaşi zi.
Metodă de acces prin credențiale IAM
Credențialele furate permit execuţia de API‑uri critice fără să fie necesară exploatarea unei vulnerabilităţi software. Atacatorii verifică quota serviciilor EC2 prin “service quotas” şi confirmă permisiunile cu RunInstances în modul DryRun, evitând costuri iniţiale şi declanşarea alertelor.
Implementarea minerului SBRMiner‑MULTI
Minerul este instalat atât în containere ECS, cât şi pe instanțe EC2, combinând flexibilitatea containerelor cu puterea de calcul a mașinilor virtuale. Astfel, consumul CPU și crearea de clustere noi se reflectă imediat în utilizarea resurselor și în costuri.
Tehnici de persistență și escaladare
– Setarea „disable API termination” împiedică terminarea rapidă a instanțelor prin API.
– Crearea a zeci de clustere ECS (peste 50 în unele atacuri) dispersează resursele și complică investigarea.
– Utilizarea Auto Scaling Groups menține numărul de instanțe activ, repornind minerii chiar și după oprirea manuală.
– Funcțiile Lambda expuse prin URL public fără autentificare oferă un punct de acces persistent pentru atacatori.
Impact financiar și operațional
Creșteri bruște ale utilizării CPU/GPU și apariţia de noi instanțe în timpul nopţii generează facturi mult peste bugetul alocat. Lipsa alertelor rapide poate transforma un incident în pierderi de zeci de mii de euro în doar câteva ore.
Măsuri de protecție AWS contra cryptojacking
– Utilizaţi credenţiale temporare (STS) în loc de chei de acces permanente.
– Limitaţi numărul de utilizatori cu privilegii „admin‑like” și aplicaţi principiul „least privilege”.
– Activaţi MFA pentru toate conturile IAM.
– Configuraţi alerte pentru: costuri neobișnuit de mari, lansări de instanțe noi, crearea masivă de clustere ECS, apeluri DryRun și modificări ale atributului disable API termination.
– Monitorizaţi şi revocaţi funcţiile Lambda expuse public fără autentificare.
Paşi de răspuns rapid în caz de incident
1. Identificaţi și marcaţi toate instanțele cu protecție la terminare activată.
2. Deactivează temporar setarea disable API termination pentru a permite închiderea rapidă a resurselor compromise.
3. Opriţi și ştergeţi clusterele ECS și grupurile de Auto Scaling create recent.
4. Revocaţi imediat cheile de acces IAM compromise și generaţi altele noi.
Importanţa monitorizării continue
Evoluţia rapidă a atacurilor de cryptojacking în mediul AWS subliniază necesitatea unei supravegheri constante a accesului IAM și a comportamentului resurselor cloud. Informarea continuă și actualizarea politicilor de securitate rămân esențiale pentru a evita consumul neautorizat de resurse și costuri nedorite.
