Na quarta-feira, o Google lançou luz sobre um agente de ameaça financeiramente motivado chamado TRIPLESTRENGTH por seu direcionamento oportunista de ambientes na nuvem para cryptojacking e ataques de ransomware on-premise.
"Este ator se envolveu em uma variedade de atividades ameaçadoras, incluindo operações de mineração de criptomoedas em recursos na nuvem sequestrados e atividade de ransomware", disse a divisão de nuvem da gigante da tecnologia em seu 11º Relatório de Horizontes de Ameaças.
TRIPLESTRENGTH participa de uma tríade de ataques maliciosos, incluindo mineração ilícita de criptomoedas, ransomware e extorsão, e anúncio de acesso a várias plataformas na nuvem, incluindo Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud e Digital Ocean para outros agentes de ameaça.
O acesso inicial às instâncias na nuvem alvo é facilitado por meio de credenciais e cookies roubados, alguns dos quais originários de logs de infecção do Raccoon information stealer.
Os ambientes sequestrados são então abusados para criar recursos de computação para mineração de criptomoedas.
Versões subsequentes da campanha foram encontradas para aproveitar contas altamente privilegiadas para convidar contas controladas por atacantes como contatos de cobrança no projeto na nuvem da vítima para configurar grandes recursos de computação para fins de mineração.
A mineração de criptomoedas é realizada usando o aplicativo unMiner ao lado da pool de mineração unMineable, com ambos os algoritmos de mineração otimizados para CPU e GPU, dependendo do sistema alvo.
Talvez de maneira um pouco incomum, as operações de implantação de ransomware do TRIPLESTRENGTH foram focadas em recursos on-premises, em vez de infraestrutura na nuvem, empregando lockers como Phobos, RCRU64 e LokiLocker.
"Em canais do Telegram focados em hacking, atores ligados ao TRIPLESTRENGTH postaram anúncios para o ransomware como serviço RCRU64 e também solicitaram parceiros para colaborar em operações de ransomware e chantagem", disse o Google Cloud.
Em um incidente de ransomware RCRU64 em maio de 2024, diz-se que os agentes de ameaça ganharam acesso inicial via protocolo de desktop remoto, seguido por movimentação lateral e etapas de evasão de defesa antivirus para executar o ransomware em vários hosts.
O TRIPLESTRENGTH também foi observado rotineiramente anunciando acesso a servidores comprometidos, incluindo aqueles pertencentes a provedores de hospedagem e plataformas na nuvem, no Telegram.
O Google disse que tomou medidas para combater essas atividades, aplicando autenticação de múltiplos fatores (MFA) para prevenir o risco de tomada de conta e implementando logs melhorados para sinalizar ações de cobrança sensíveis.
"Uma única credencial roubada pode iniciar uma reação em cadeia, concedendo aos atacantes acesso a aplicativos e dados, tanto on-premises quanto na nuvem", disse a gigante da tecnologia.
Esse acesso pode ser ainda mais explorado para comprometer a infraestrutura por meio de serviços de acesso remoto, manipular MFA e estabelecer uma presença confiável para ataques subsequentes de engenharia social.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...