- Os invasores usaram credenciais IAM de alto privilégio roubadas para implantar rapidamente criptografia em grande escala no EC2 e ECS
- Foram lançados grupos de escalonamento automático com uso intenso de GPU, buckets Fargate desonestos, novos usuários de IAM e instâncias protegidas contra desligamento.
- A AWS exige higiene rigorosa do IAM: MFA em todos os lugares, credenciais temporárias e acesso com privilégios mínimos
Os cibercriminosos têm como alvo os clientes da Amazon Web Services (AWS) com criptojackers usando Amazon EC2 e Amazon ECS, alertaram especialistas.
A gigante da nuvem alertou sobre a campanha em andamento em um relatório recente, dizendo que já foi corrigida, mas pediu aos clientes que sejam cautelosos, pois tais ataques podem ressurgir facilmente.
No início de novembro de 2025, os engenheiros do Amazon GuardDuty detectaram o ataque depois de verem as mesmas técnicas aparecendo em várias contas da AWS. Uma investigação subsequente determinou que os criminosos não estavam explorando nenhuma vulnerabilidade conhecida ou desconhecida na própria AWS. Em vez disso, eles confiaram em credenciais comprometidas do AWS Identity and Access Management (IAM) para obter acesso com permissões de alto nível. Uma vez lá dentro, eles usariam o acesso para implantar infraestrutura de mineração em larga escala no ambiente de nuvem.
Fortaleça suas senhas
O relatório da Amazon diz que a maioria dos mineradores de criptografia estava funcionando poucos minutos após o acesso inicial. Os invasores rapidamente passaram a enumerar cotas e permissões de serviço e, em seguida, lançaram dezenas de clusters ECS e grandes grupos de escalonamento automático EC2. Em alguns casos, estes foram configurados para crescer rapidamente para maximizar o consumo de computação.
Os hackers abordaram o ataque de forma diferente no ECS e no EC2. No primeiro, eles implantaram imagens de contêiner maliciosas hospedadas no Docker Hub, que executava o minerador no AWS Fargate.
Neste último, entretanto, eles criaram uma série de modelos de inicialização e grupos de escalonamento automático voltados para instâncias de GPU de alto desempenho, bem como instâncias de computação de uso geral.
A Amazon acrescentou que os fraudadores usaram proteção de endpoint para evitar o desligamento fácil ou a correção remota de endpoints comprometidos.
Eles também criaram funções AWS Lambda disponíveis publicamente e usuários adicionais do IAM.
Defender-se contra tais ataques é fácil, sugeriu a Amazon. Tudo que você precisa é de uma senha forte:
“Para se protegerem contra ataques semelhantes de mineração de criptografia, os clientes da AWS devem priorizar controles robustos de identidade e gerenciamento de acesso”, diz o relatório. “Use credenciais temporárias em vez de chaves de acesso de longo prazo, implemente autenticação multifator (MFA) para todos os usuários e aplique privilégios mínimos aos principais do IAM para limitar o acesso às permissões necessárias.”
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
