Todos los días se crean nuevos tipos de ataques cibernéticos por parte de los piratas informáticos, lo que genera mucho trabajo para los empresarios y profesionales responsables de la seguridad de los datos de la empresa. Y aunque no es una estafa tan nueva, el "Freejacking" se ha vuelto popular entre los piratas informáticos para extraer criptomonedas.

Según los nuevos hallazgos de la Unidad 42 (el brazo de investigación de Palo Alto Networks), Automated Libra es el grupo de amenazas en la nube detrás de la campaña de pirateo de PurpleUrchin, y ha creado más de 130 mil cuentas en plataformas en la nube como Heroku y GitHub, para criptominería, involucrando ilegalmente robo de recursos de estas plataformas. La disponibilidad de estos servicios relacionados con la nube facilita las amenazas porque no necesitan mantener su propia infraestructura para implementar sus aplicaciones para los ataques.

"Automated Libra es un grupo de piratería sudafricana que se enfoca principalmente en plataformas en la nube que ofrecen pruebas por tiempo limitado o incluso gratuitas de sus capacidades para llevar a cabo sus operaciones de criptominería", dijo Daniel Bortolazo, Gerente de Ingeniería y Arquitectura de Palo Alto Networks en Brasil. “Con este descubrimiento, evaluamos que los atacantes detrás de las operaciones de PurpleUrchin han robado recursos de la nube de varias plataformas que ofrecen este servicio a través de una táctica que los investigadores de Unit 42 llaman 'Play and Run'. Esto permite a los ciberdelincuentes utilizar los recursos de la nube y negarse a pagar por ellos una vez que llega la factura”.

Pero, ¿cómo funciona el "Freejacking"?

El freejacking es un tipo de ataque cibernético que utiliza plataformas en la nube que ofrecen pruebas de sus recursos para realizar criptominería. Según la investigación, hay evidencia de saldos impagos en algunas de estas plataformas de servicios en la nube de varias de las cuentas creadas. Este hallazgo sugiere que los atacantes crearon cuentas falsas con tarjetas de crédito robadas o falsificadas.

Los piratas informáticos de PurpleUrchin llevaron a cabo estas operaciones de Play and Run creando y utilizando cuentas falsas con tarjetas de crédito falsificadas o posiblemente robadas. Todas estas cuentas que descubrimos tenían un saldo pendiente de pago. Si bien uno de los saldos impagos más grandes que encontramos fue de USD 190, sospechamos que los montos en otras cuentas falsas y servicios en la nube utilizados por los piratas informáticos podrían haber sido mucho mayores debido a la escala y amplitud de la operación minera. Cuando aplicamos este valor a las 130 mil cuentas creadas, tenemos una visión de la pérdida”.

Al analizar los datos recopilados, la Unidad 42 rastreó a los piratas informáticos hasta agosto de 2019, identificando la actividad distribuida en múltiples proveedores de la nube e intercambios de criptomonedas.

Aprovechando las lagunas de CAPTCHA

Los ciberdelincuentes detrás de esta campaña crearon entre tres y cinco cuentas de GitHub cada minuto durante su pico de operaciones en noviembre de 2022. de cuentas, aprovechando una debilidad en la verificación de CAPTCHA en la plataforma. Después de eso, fue posible establecer una base de cuentas, iniciando actividades de freejacking.

Para eludir CAPTCHA como medio de ataque, los piratas informáticos utilizaron una cuenta de Gmail para automatizar el proceso de obtención del código de inicialización. Una vez que se ingresa la contraseña, la automatización genera un token de acceso personal (PAT) con permisos de flujo de trabajo.

Heroku siendo utilizado por piratas informáticos

Una de las implementaciones de amenazas más recientes involucró la ejecución de Togglebox utilizando los servicios AHP. Togglebox es una plataforma de alojamiento de aplicaciones y VPS en la nube con unidad de estado sólido (SSD) completamente administrada. Heroku es uno de los servicios en la nube preferidos que utilizan los piratas informáticos en 2021 porque es un CAP que permite a los usuarios crear e implementar aplicaciones sin necesidad de mantener una infraestructura de alojamiento en la nube. Las operaciones de PurpleUrchins hicieron uso de esta función en todas sus operaciones y, después de analizar los datos de contenedores recopilados, la Unidad 42 identificó un total de 101 mil cuentas únicas creadas en la plataforma.

"Los investigadores de la Unidad 42 identificaron más de 40 billeteras criptográficas individuales y siete criptomonedas o tokens diferentes que se utilizan dentro de la operación PurpleUrchin", dijo Bortolazo, y agregó: "también identificamos que los componentes de infraestructura específicos que se crearon no sólo se diseñaron para realizar la funcionalidad de minería, sino que también automatizaron el proceso de negociación de las criptomonedas recopiladas en varias plataformas comerciales como CRATEX ExchangeMarket, crex24 y Luno".

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Te puede interesar: