Em um novo relatório publicado pela sua equipe de cibersegurança, o Google alerta que hackers estão utilizando contas comprometidas do seu serviço em nuvem para minerar criptomoedas.
Além de detalhar como a ação relacionada à mineração ocorre e identificar outras ameaças ao serviço de computação em nuvem do Google, o documento traz sugestões sobre como os usuários podem proteger suas contas.
As ameaças descritas no relatório incluem: hackers apoiados pelo governo russo que tentam obter senhas de usuários; hackers norte-coreanos que se passam por recrutadores da Samsung; e o uso de criptografia em ataques ransomware.
Dentre os diferentes tipos de incidentes listados, o Google aponta que o uso de contas roubadas para minerar criptomoedas é o mais frequente. Mais de 80% dos 50 ataques recentes ao serviço de computação em nuvem da empresa ocorreram com esse objetivo.
O termo “mineração” refere-se ao processo em que blockchains são regularizados e verificados, exigindo uma grande capacidade computacional. Por isso, a estratégia utilizada pelos hackers para lucrar com essa atividade é maximizar o trabalho utilizando contas comprometidas.
Falhas de segurança
De acordo com o relatório, 86% dos ataques ao Google Cloud tinham como objetivo final a mineração de criptomoedas. Na maioria dos casos, foi identificado que o intervalo de tempo entre uma conta ser comprometida e o download do software utilizado para minerar criptomoedas foi de apenas 22 segundos.
Em cerca de três quartos dos ataques aos serviços de nuvem, os hackers se aproveitam dos sistemas deficientes de segurança de clientes ou de vulnerabilidades em softwares de terceiros.
A recomendação do relatório, portanto, é implementar a autenticação de dois fatores para adicionar uma camada extra de proteção e participar do programa oferecido pela empresa sobre cibersegurança no trabalho.
Apesar das outras ameaças listadas no documento não serem tão frequentes como o roubo de contas para mineração de criptomoedas, elas também representam riscos significativos devido às motivações e impactos associados a esses ciberataques.
Phishing e ransomware
O relatório detalha que um grupo hacker conhecido como “Fancy Bear” foi responsável por uma tentativa de phishing em massa que tinha como foco 12 mil contas Gmail.
Na mensagem enviada às potenciais vítimas, os hackers apoiados pelo governo russo alertavam que elas poderiam ser alvo de um golpe para roubar suas informações e, assim, tentavam manipular os usuários a fornecer suas senhas.
O Google afirma que já bloqueou todos os e-mails phishing associados a esse ataque, que ocorreu principalmente no Reino Unido, Estados Unidos e Índia. Ainda de acordo com a empresa, nenhum dado de usuário foi comprometido.
Outro golpe sinalizado pela gigante de buscas está associado a um grupo da Coreia do Norte que se passa por recrutadores da Samsung para enviar mensagens falsas sobre oportunidades de emprego. Essas ofertas são direcionadas a profissionais de segurança da informação que trabalham em empresas da Coreia do Sul.
Ao receberem essas falsas propostas de emprego, as vítimas são influenciadas a clicar em um link para um malware armazenado no Google Drive. Segundo o Google, o arquivo malicioso também foi bloqueado.
Por fim, a empresa afirma que o principal desafio é lidar com os ataques ransomware devido à estratégia utilizada pelos hackers. Caso não seja feito o pagamento em troca da ferramenta de descriptografia, é quase impossível recuperar os documentos.
Um dos principais grupos que realizam ataques ransomware sinalizado pelo relatório é o Black Matter. No início deste mês, eles haviam anunciado que iriam encerrar suas atividades devido a pressões das autoridades. No entanto, o Google alerta que o grupo ainda representa um risco até que o seu fim seja confirmado.