Google arrojó luz el miércoles sobre un actor de amenazas con motivos financieros llamado TRIPLE FUERZA por su objetivo oportunista de entornos de nube para ataques de cryptojacking y ransomware local.
“Este actor participó en una variedad de actividades de amenazas, incluidas operaciones de minería de criptomonedas en recursos de la nube secuestrados y actividad de ransomware”, dijo la división de la nube del gigante tecnológico en su informe. 11.° Informe sobre horizontes de amenazas.
TRIPLESTRENGTH participa en una trifecta de ataques maliciosos, que incluyen minería ilícita de criptomonedas, ransomware y extorsión, y acceso publicitario a varias plataformas en la nube, incluidas Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud y Digital Ocean para otros actores de amenazas.
El acceso inicial a las instancias de la nube de destino se facilita mediante credenciales y cookies robadas, algunas de las cuales se originan en los registros de infección del ladrón de información de Raccoon. Luego se abusa de los entornos secuestrados para crear recursos informáticos para extraer criptomonedas.
Se ha descubierto que versiones posteriores de la campaña aprovechan cuentas con privilegios elevados para invitar a cuentas controladas por atacantes como contactos de facturación en el proyecto de nube de la víctima con el fin de configurar grandes recursos informáticos con fines de minería.
La minería de criptomonedas se lleva a cabo mediante el uso de la aplicación unMiner junto con el grupo de minería unMineable, y se emplean algoritmos de minería optimizados para CPU y GPU según el sistema de destino.
Quizás algo inusual, las operaciones de implementación de ransomware de TRIPLESTRENGTH se han centrado en recursos locales, en lugar de infraestructura en la nube, empleando casilleros como Phobos, RCRU64y LokiLocker.
“En los canales de Telegram centrados en la piratería, los actores vinculados a TRIPLESTRENGTH publicaron anuncios de ransomware como servicio RCRU64 y también solicitaron socios para colaborar en operaciones de ransomware y chantaje”, dijo Google Cloud.
En un incidente de ransomware RCRU64 en mayo de 2024, se dice que los actores de la amenaza obtuvieron acceso inicial a través del protocolo de escritorio remoto, seguido de movimientos laterales y pasos de evasión de defensa antivirus para ejecutar el ransomware en varios hosts.
También se ha observado que TRIPLESTRENGTH anuncia de forma rutinaria el acceso a servidores comprometidos, incluidos aquellos que pertenecen a proveedores de alojamiento y plataformas en la nube, en Telegram.
Google dijo que ha tomado medidas para contrarrestar estas actividades aplicando la autenticación multifactor (MFA) para evitar el riesgo de apropiación de cuentas e implementando un registro mejorado para señalar acciones de facturación confidenciales.
“Una sola credencial robada puede iniciar una reacción en cadena, otorgando a los atacantes acceso a aplicaciones y datos, tanto en las instalaciones como en la nube”, dijo el gigante tecnológico.
“Este acceso puede explotarse aún más para comprometer la infraestructura a través de servicios de acceso remoto, manipular MFA y establecer una presencia confiable para posteriores ataques de ingeniería social”.
About the Author
