Recientemente, el grupo de investigación y análisis en inteligencia de amenazas Unit 42 de Palo Alto Networks descubrió que los grupos criminales crearon alrededor de 130 mil cuentas en plataformas como Heroku, Togglebox y GitHub, con el objetivo de realizar operaciones de criptominería, bajo un nuevo esquema de operación llamado Freejacking.
De hecho, la unidad realizó una inmersión profunda en Automated Libra, un grupo criminal en la nube detrás de la campaña de piratería PurpleUrchin, el cual es de origen sudáfricano y se dedica a la modalidad Freejacking, a través de la cual se ofrecen pruebas de recursos cloud por tiempo limitado para realizar sus operaciones de criptominería.
Probablemente se emplean cuentas falsas de tarjetas de crédito robadas, con GitHub, se crearon perfiles automatizados para eludir las imágenes CAPTCHA usando técnicas simples de análisis de imágenes y crear dichas cuentas. Incluso, Unit 42 recopiló más de 250 GB de datos en contenedores creados para la operación PurpleUrchin.
La importancia de anticiparse a las nuevas amenazas
El grupo de investigación descubrió que los actores de amenazas detrás de esta campaña inventaron de 3 a 5 cuentas en GitHub por minuto durante el pico de sus operaciones, el pasado mes de noviembre de 2022. Adicionalmente, se robaron recursos de la nube de varias plataformas de servicios cloud, a través de la táctica “Play and Run”.
Dicha estrategia involucra a personas con fines maliciosos que usan recursos de la nube y se niegan a pagar una vez que llega la factura, es decir, los ciberdelincuentes aprovecharon al máximo las pruebas gratuitas, al usar técnicas de automatización de DevOps, como integración continua y desarrollo continuo (CI/CD), esto se replica en criptominería.
Para evitar estas amenazas, la firma cuenta con la solución Prisma Cloud, con la capacidad de monitorear el uso de recursos cloud, específicamente aquellos en entornos de contenedores, también permite escanearlos en busca de vulnerabilidades y mal uso antes de la implementación, así se evitan las actividades maliciosas como Automated Libra.
