Cibercriminales usan credenciales robadas de AWS para minar criptomonedas en la nube

Secuestro de Credenciales AWS para Criptominería: Una Amenaza en Crecimiento

En un escenario donde la nube se convierte en la columna vertebral de las infraestructuras TI modernas, los actores maliciosos han intensificado sus ataques enfocados en la explotación de servicios en la nube. Recientemente, se ha identificado una oleada significativa de campañas que utilizan credenciales AWS robadas para desplegar criptominería de manera ilícita, afectando tanto la seguridad como la economía de las organizaciones.

Modus Operandi de los Atacantes

Los atacantes primeramente obtienen acceso a las credenciales de AWS mediante diversos métodos, incluyendo exploits de aplicaciones, phishing o la compra de credenciales comprometidas en mercados ilícitos. Con estas credenciales, acceden a las cuentas legítimas de AWS y configuran instancias de cómputo, principalmente servidores EC2, para desplegar software de minería de criptomonedas sin autorización.

El objetivo principal es aprovechar la capacidad computacional de las víctimas para minar criptomonedas como Monero (XMR), renombrada por su anonimato y preferencia en actividades ilícitas. Esto no solo genera pérdidas directas por el expolio de recursos, sino que obliga a los propietarios a afrontar costos adicionales en la factura de AWS sin obtener ningún beneficio.

Vectores de Compromiso y Técnicas de Persistencia

Las técnicas empleadas por los atacantes incluyen:

Uso de herramientas de administración legítimas: Para evitar detección, se utiliza la línea de comandos de AWS (AWS CLI) y scripts automatizados para lanzar y gestionar recursos.
Empleo de herramientas de evasión: Malware diseñado para camuflar la actividad minera y borrar vestigios.
Persistencia mediante modificación de roles y políticas: Cambian o asignan permisos adicionales, dificultando la revocación del acceso.

La explotación puede continuar durante semanas o incluso meses si no se detecta, incrementando el impacto financiero y operativo.

Impacto en la Seguridad y en los Costos Operativos

Más allá del coste económico directo por los recursos consumidos, este tipo de ataques compromete la integridad de la infraestructura cloud y puede dejar puertas abiertas para compromisos posteriores o movimientos laterales dentro de la organización. El abuso del entorno AWS también puede afectar la reputación debido a la participación involuntaria en actividades ilícitas.

Además, la minería mina recursos de manera intensiva, lo que puede degradar el rendimiento de servicios legítimos y provocar alertas por anomalías en el uso, siempre y cuando exista monitoreo adecuado.

Recomendaciones para Mitigar Riesgos

Para organizaciones que operan en entornos AWS, se recomienda:

Implementar una gestión estricta de identidades y acceso (IAM): Revisiones periódicas de permisos, principio de privilegio mínimo y rotación continua de credenciales.
Habilitar autenticación multifactor (MFA): Para todas las cuentas administrativas y de alto riesgo.
Monitoreo constante y análisis de logs: Configurar alertas ante patrones inusuales de uso o creación de recursos.
Aplicar políticas de seguridad en la nube: Que restrinjan la ejecución de código no autorizado y controlen el despliegue de instancias.
Concienciación y formación: Para minimizar el riesgo de robo de credenciales mediante phishing u otros ataques de ingeniería social.
Uso de servicios nativos de AWS para auditoría: Como AWS CloudTrail, AWS Config y AWS GuardDuty para detectar y responder a actividades sospechosas.

Conclusión

El ataque mediante el uso de credenciales AWS robadas para minería de criptomonedas representa una amenaza crítica que combina riesgos tecnológicos y económicos para las organizaciones. La adecuada gestión de identidades, controles de acceso robustos y monitoreo proactivo son fundamentales para mitigar el impacto y proteger los entornos cloud frente a este tipo de adversarios.

Para profundizar más en este tema, consulte el artículo original en Dark Reading: Attackers Use Stolen AWS Credentials for Cryptomining.

← Cellik: El nuevo troyano Android que se infiltra a través de Google Play Store Afripol Refuerza la Cooperación Regional para Enfrentar los Desafíos Cibernéticos en África →

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil