Az ellopott hozzáférések ára
A csalók nem biztonsági rést használnak ki, hanem érvényes, adminisztrátori szintű AWS Identity and Access Management (IAM) jogosultságokat szereznek meg. Ezek birtokában SBRMiner-MULTI bányászprogramot telepítenek az áldozatok szervereire. Először felmérik, hány EC2-példány indítható, majd a DryRun flaggel többször is tesztelik az indítást, így kockázat nélkül felmérik, mire képesek. Az automatizált támadások során sokszor ötvennél is több ECS-clustert hoznak létre, hogy a lehető legtöbb erőforrást használják ki.
Állandó jelenlét és rejtőzködés
A támadók kitartóak: a DisableApiTermination beállítást is engedélyezik, ami megakadályozza a futó példányok törlését. Ez plusz lépést jelent az áldozatok számára: először újra engedélyezniük kell a törlést, ha el akarják távolítani a bányászt. Emellett hitelesítés nélküli Lambda-funkciókat is létrehoznak, amelyek nyilvános URL-en keresztül elérhetők maradnak, így folyamatos hozzáférést biztosítanak maguknak.
Hogyan védekezhetsz?
Erős hozzáférés-kezelést alkalmazz, használj ideiglenes hitelesítő adatokat a hosszú távú kulcsok helyett, minden fiókhoz kötelező legyen a kétlépcsős hitelesítés (MFA), és az IAM-jogosultságokat a legszükségesebb szintre korlátozd. Ez az egyetlen út, hogy megvédd az AWS-fiókodat a kriptobányászok támadásaitól.
