Un grupo de Freejacking denominado "Automated Libra", viene creando más de 130,000 cuentas en varias plataformas, incluidas Heroku, Togglebox y GitHub, con el objetivo de realizar operaciones de criptominería, según indicó “Unit 42” el equipo de investigación y análisis en inteligencia de amenazas de Palo Alto.
El equipo de investigación y análisis en inteligencia de amenazas Unit 42 de Palo Alto Networks, viene realizando una exhaustiva investigación en Automated Libra, un grupo en la nube detrás de la campaña de piratería PurpleUrchin.
Este grupo resalta por el hackeo Freejacking, el cual es el proceso que utiliza recursos de la nube gratuitos o de tiempo limitado para realizar operaciones de criptominería. Operando desde Sudáfrica, Automated Libra tiene por enfoque principal acceder a plataformas en la nube las cuales ofrecen pruebas de recursos por tiempo limitado para realizar sus operaciones de criptominería.
Automated Libra, viene creando más de 130,000 cuentas de usuario en varias plataformas, incluidas Heroku, Togglebox y GitHub, para realizar operaciones de criptominería probablemente con cuentas falsas de tarjetas de crédito robadas. Con GitHub, crearon perfiles automatizados para eludir las imágenes CAPTCHA usando técnicas simples de análisis de imágenes y crear sus cuentas.
Por su parte, Unit 42 tiene recopilados más de 250 GB de datos en contenedores creados para la operación PurpleUrchin y descubrió que los actores de amenazas detrás de esta campaña inventan de 3 a 5 cuentas de GitHub cada minuto durante el pico de sus operaciones en noviembre de 2022.
El grupo también robó recursos de la nube de varias plataformas de servicios en la nube a través de una táctica que los investigadores de Unit 42 llaman “Play and Run“. Esta táctica involucra a personas con fines maliciosos que usan recursos de la nube y se niegan a pagar una vez que llega la factura. Los ciber delincuentes aprovecharon al máximo estas pruebas gratuitas, al usar técnicas de automatización de DevOps, como integración continua y desarrollo continuo (CI/CD). Al contener las creaciones de cuentas de usuario en plataformas en la nube y al automatizar sus operaciones de criptominería. También automatizaron el proceso de creación de contenedores para garantizar que las nuevas cuentas que crearon se usarán en las operaciones de criptominería.
Para evitar este tipo de amenazas, Palo Alto Networks Prisma Cloud, tiene la capacidad de monitorear el uso de los recursos de la nube, específicamente aquellos iniciados dentro de un entorno en contenedores. La capacidad de Prisma Cloud para escanear todos los contenedores en busca de vulnerabilidades y mal uso antes de la implementación, así como monitorear el estado de tiempo de ejecución de estos contenedores, evitaría que las actividades de Automated Libra persistan en un entorno de nube.
Hozzászólások