Site pictogram Financieel.com

Google waarschuwt dat cryptominers gecompromitteerde cloudaccounts gebruiken

Cryptocurrency-mijnwerkers gebruiken gecompromitteerde Google Cloud-accounts voor rekenintensieve mijnbouwdoeleinden, heeft Google gewaarschuwd.

Het cyberbeveiligingsteam van de zoekgigant verstrekte details in een woensdag gepubliceerd rapport. Het zogenaamde “Threat Horizons”-rapport heeft tot doel intelligentie te bieden waarmee organisaties hun cloudomgevingen veilig kunnen houden.

“Er werden kwaadwillende actoren waargenomen die cryptocurrency-mining uitvoerden binnen gecompromitteerde Cloud-instanties”, schreef Google in een samenvatting van het rapport.

Cryptocurrency-mining is een winstgevende activiteit waarvoor vaak grote hoeveelheden rekenkracht nodig zijn, waar Google Cloud-klanten tegen een vergoeding toegang toe hebben. Google Cloud is een extern opslagplatform waar klanten gegevens en bestanden off-site kunnen bewaren.

Google zei dat 86% van de 50 onlangs gecompromitteerde Google Cloud-accounts werden gebruikt om cryptocurrency-mining uit te voeren. In de meeste gevallen werd cryptocurrency-miningsoftware gedownload binnen 22 seconden nadat het account was gehackt, aldus Google.

Ongeveer 10% van de gecompromitteerde accounts werd ook gebruikt om scans uit te voeren van andere openbaar beschikbare bronnen op internet om kwetsbare systemen te identificeren, terwijl 8% van de gevallen werd gebruikt om andere doelen aan te vallen.

Bitcoin, ’s werelds meest populaire cryptocurrency, is bekritiseerd omdat het te energie-intensief is. Bitcoin-mijnbouw gebruikt meer energie dan sommige hele landen. In mei deed de politie een inval in een vermoedelijke cannabisboerderij om te ontdekken dat het in feite een illegale bitcoin-mijn was.

“Het landschap van cloudbedreigingen in 2021 was natuurlijk complexer dan alleen malafide cryptocurrency-mijnwerkers”, schreven Bob Mechler, directeur van het kantoor van de Chief Information Security Officer bij Google Cloud, en Seth Rosenblatt, beveiligingsredacteur bij Google Cloud, in een blogpost.

Ze zeiden dat Google-onderzoekers eind september ook een phishing-aanval door de Russische groep APT28/Fancy Bear aan het licht brachten, eraan toevoegend dat Google de aanval blokkeerde.

Google-onderzoekers identificeerden ook een door de Noord-Koreaanse overheid gesteunde dreigingsgroep die zich voordeed als Samsung-recruiters om kwaadaardige bijlagen te sturen naar werknemers van verschillende Zuid-Koreaanse anti-malware cyberbeveiligingsbedrijven, voegde ze eraan toe.

Correctie: de kop en tekst van dit verhaal is bijgewerkt om nauwkeuriger te beschrijven hoe mijnwerkers toegang kregen tot de Google Cloud-accounts.

Mobiele versie afsluiten