Freejacking, sepa por qué Unit 42 advierte del riesgo en nube

Según los especialistas de Palo Alto, el Freejacking es una nueva modalidad en criptominería que permite robar información en la nube.

 

Nube. Criptominería. Riesgo. Cibercrimen. Hasta hace tres años, todas estas palabras difícilmente se encontraban juntas en la misma oración. 

La pandemia cambió eso. Al desplazarse mucho del trabajo y la operación cotidiana a la nube por el eCommerce y el trabajo híbrido, los hackers maliciosos y quienes viven de los ciberataques tuvieron nuevos blancos que vulnerar. 

Y lo lograron en tiempo récord. Ahora, hay campañas completas de ataques cuyo objetivo es vulnerar el = hasta hace poco – blindado ecosistema cloud. 

Para entender mejor lo que ha estado pasando (única forma de combatirlo) los investigadores de Unit 42, el equipo de investigación y análisis en inteligencia de amenazas de Palo Alto Networks, realizaron una inmersión profunda en Automated Libra, un grupo en la nube detrás de la campaña de piratería PurpleUrchin.

Este grupo radicado en Sudáfrica se caracteriza por realizar lo que se ha denominado Freejacking, el proceso de utilizar recursos de la nube gratuitos (o de tiempo limitado) para realizar operaciones de criptominería. 

Automated Libra se enfoca principalmente en plataformas en la nube las cuales ofrecen pruebas de recursos por tiempo limitado para realizar sus operaciones de criptominería.

Trabajo de hormiga 

Uno de los hallazgos más alarmantes del equipo de Unit 42 es que los actores de amenazas crearon más de 130.000 cuentas en varias plataformas para realizar operaciones de criptominería. 

Estas plataformas están incluidas en los ecosistemas de: 

• Heroku
• Togglebox 
• Y GitHub,.

¿Cómo lo hicieron? Probablemente con cuentas falsas de tarjetas de crédito robadas. 

Con GitHub, crearon perfiles automatizados para eludir las imágenes CAPTCHA usando técnicas simples de análisis de imágenes y crear sus cuentas.

Dicho esti, Unit 42 recopiló más de 250 GB de datos en contenedores creados para la operación PurpleUrchin y descubrió que los actores de amenazas detrás de esta campaña: 

• Crearon perfiles automatizados para eludir las imágenes CAPTCHA 
• Usando técnicas simples de análisis de imágenes y crear sus cuentas
• Gracias a esti, inventaban de 3 a 5 cuentas de GitHub cada minuto 

Todo ello durante el pico de sus operaciones en noviembre de 2022.

IA, el arma secreta del Freejacking

El equipo de investigación de Palo Alto Network estableció también en su investigación que el grupo de cibercrimen surafricano robó recursos de varias plataformas de servicios en la nube a través de una táctica que Unit 42 llaman “Play and Run”. 

Esta táctica involucra a personas con fines maliciosos que usan recursos de la nube y se niegan a pagar una vez que llega la factura.

Los ciber delincuentes aprovecharon al máximo estas pruebas gratuitas, al usar técnicas de automatización de DevOps, como: 

• Integración continua 
• Y desarrollo continuo (CI/CD)

Con esto lograron usar la Al para la creación de cuentas de usuario en plataformas en la nube y al automatizar sus operaciones de criptominería. 

También automatizaron el proceso de creación de contenedores para garantizar que las nuevas cuentas que crearon se usaran en las operaciones de criptominería.

Como puede verse son creativos, ingeniosos, sofisticados y muy organizados. Es decir, muy peligrosos pues infectan las plataformas y nubes para seguir robando información y creando cuentas falsas que son útiles para los ataques que, efectivamente, logran dinero como los de phishing o ransomware. 

Para evitar este tipo de amenazas, Palo Alto Networks Prisma Cloud tiene la capacidad de monitorear el uso de los recursos de la nube, específicamente aquellos iniciados dentro de un entorno en contenedores.

 La información completa del análisis realizado por Unit 42 se puede consultar en:  https://unit42.paloaltonetworks.com/purpleurchin-steals-cloud-resources