{"id":1022874,"date":"2023-10-30T21:04:01","date_gmt":"2023-10-30T21:04:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-ataques-de-criptojacking-de-elektra-leak-explotan-las-credenciales-de-aws-iam-expuestas-en-github\/"},"modified":"2023-10-30T21:04:05","modified_gmt":"2023-10-30T21:04:05","slug":"los-ataques-de-criptojacking-de-elektra-leak-explotan-las-credenciales-de-aws-iam-expuestas-en-github","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-ataques-de-criptojacking-de-elektra-leak-explotan-las-credenciales-de-aws-iam-expuestas-en-github\/","title":{"rendered":"Los ataques de criptojacking de EleKtra-Leak explotan las credenciales de AWS IAM expuestas en GitHub"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">30 de octubre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Seguridad en la nube \/ Criptomoneda<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Los-ataques-de-criptojacking-de-EleKtra-Leak-explotan-las-credenciales-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Una nueva campa\u00f1a en curso denominada <strong>EleKtra-fuga<\/strong> ha puesto sus ojos en las credenciales expuestas de gesti\u00f3n de identidad y acceso (IAM) de Amazon Web Service (AWS) dentro de los repositorios p\u00fablicos de GitHub para facilitar las actividades de criptojacking.<\/p>\n<p>&#8220;Como resultado de esto, el actor de amenazas asociado con la campa\u00f1a pudo crear m\u00faltiples instancias de AWS Elastic Compute (EC2) que utilizaron para operaciones de cryptojacking de amplio alcance y larga duraci\u00f3n&#8221;, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, William Gamazo y Nathaniel Quist <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/malicious-operations-of-exposed-iam-keys-cryptojacking\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico compartido con The Hacker News.<\/p>\n<p>La operaci\u00f3n, activa desde al menos diciembre de 2020, est\u00e1 dise\u00f1ada para extraer Monero de hasta 474 instancias \u00fanicas de Amazon EC2 entre el 30 de agosto y el 6 de octubre de 2023.<\/p>\n<p>Un aspecto destacado de los ataques es el ataque automatizado a las credenciales de AWS IAM dentro de los cuatro minutos de su exposici\u00f3n inicial en GitHub, lo que indica que los actores de amenazas est\u00e1n clonando y escaneando program\u00e1ticamente los repositorios para capturar las claves expuestas.<\/p>\n<p>Tambi\u00e9n se ha observado que el adversario incluye en una lista bloqueada cuentas de AWS que publicitan credenciales de IAM en lo que probablemente se considera un esfuerzo por evitar m\u00e1s an\u00e1lisis.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-1.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Los-ataques-de-criptojacking-de-EleKtra-Leak-explotan-las-credenciales-de.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Hay evidencia que sugiere que el atacante tambi\u00e9n pudo haber estado vinculado a otra campa\u00f1a de criptojacking. <a rel=\"nofollow noopener\" href=\"https:\/\/intezer.com\/blog\/research\/a-rare-look-inside-a-cryptojacking-campaign-and-its-profit\/\" target=\"_blank\">revelado por Intezer<\/a> en enero de 2021 ten\u00eda como objetivo servicios Docker mal protegidos utilizando el mismo software de miner\u00eda personalizado.<\/p>\n<p>Parte del \u00e9xito de la campa\u00f1a radica en la explotaci\u00f3n de puntos ciegos en la funci\u00f3n de escaneo secreto de GitHub y AWS. <a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/aws-managed-policy\/latest\/reference\/AWSCompromisedKeyQuarantineV2.html\" target=\"_blank\">AWSCompromisedKeyPol\u00edtica de cuarentena<\/a> para marcar y evitar el uso indebido de credenciales de IAM comprometidas o expuestas para ejecutar o iniciar instancias EC2.<\/p>\n<p>Si bien la pol\u00edtica de cuarentena se aplica dentro de los dos minutos posteriores al acceso p\u00fablico a las credenciales de AWS en GitHub, se sospecha que las claves est\u00e1n siendo expuestas a trav\u00e9s de un m\u00e9todo a\u00fan indeterminado.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1698699840_90_Los-ataques-de-criptojacking-de-EleKtra-Leak-explotan-las-credenciales-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1698699840_90_Los-ataques-de-criptojacking-de-EleKtra-Leak-explotan-las-credenciales-de.jpg\" alt=\"Ataques de criptojacking de fugas de EleKtra\" border=\"0\" data-original-height=\"525\" data-original-width=\"728\" title=\"Ataques de criptojacking de fugas de EleKtra\"\/><\/a><\/div>\n<p>La Unidad 42 dijo que &#8220;el actor de amenazas podr\u00eda encontrar claves de AWS expuestas que AWS no detecta autom\u00e1ticamente y posteriormente controlar estas claves fuera de la pol\u00edtica AWSCompromisedKeyQuarantine&#8221;.<\/p>\n<p>En las cadenas de ataque descubiertas por la empresa de ciberseguridad, las credenciales de AWS robadas se utilizan para realizar una operaci\u00f3n de reconocimiento de cuenta, seguida de la creaci\u00f3n <a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/vpc\/latest\/userguide\/vpc-security-groups.html\" target=\"_blank\">Grupos de seguridad de AWS<\/a> y lanzar m\u00faltiples instancias EC2 en varias regiones desde detr\u00e1s de una red privada virtual (VPN).<\/p>\n<p>Las operaciones de criptominer\u00eda se llevan a cabo en instancias c5a.24xlarge de AWS debido a su mayor poder de procesamiento, lo que permite a sus operadores extraer m\u00e1s criptomonedas en un per\u00edodo de tiempo m\u00e1s corto.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1698699841_784_Los-ataques-de-criptojacking-de-EleKtra-Leak-explotan-las-credenciales-de.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El software de miner\u00eda utilizado para llevar a cabo el cryptojacking se obtiene de una URL de Google Drive, lo que resalta un patr\u00f3n de actores maliciosos que aprovechan la confianza asociada con aplicaciones ampliamente utilizadas para pasar desapercibidas.<\/p>\n<p>&#8220;El tipo de im\u00e1genes de m\u00e1quinas de Amazon (<a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/AWSEC2\/latest\/UserGuide\/AMIs.html\" target=\"_blank\">IAM<\/a>) el actor de amenazas utilizado tambi\u00e9n era distintivo&#8221;, dijeron los investigadores. &#8220;Las im\u00e1genes identificadas eran privadas y no figuraban en AWS Marketplace&#8221;.<\/p>\n<p>Para mitigar dichos ataques, se recomienda a las organizaciones que exponen accidentalmente las credenciales de AWS IAM que revoquen inmediatamente cualquier conexi\u00f3n API utilizando las claves, las eliminen del repositorio de GitHub y auditen GitHub. <a rel=\"nofollow noopener\" href=\"https:\/\/docs.github.com\/en\/enterprise-cloud@latest\/admin\/monitoring-activity-in-your-enterprise\/reviewing-audit-logs-for-your-enterprise\/audit-log-events-for-your-enterprise\" target=\"_blank\">eventos de clonaci\u00f3n de repositorios<\/a> para cualquier operaci\u00f3n sospechosa.<\/p>\n<p>&#8220;El actor de amenazas puede detectar y lanzar una operaci\u00f3n minera a gran escala en cinco minutos desde el momento en que se expone una credencial de AWS IAM en un repositorio p\u00fablico de GitHub&#8221;, dijeron los investigadores.  &#8220;A pesar del \u00e9xito de las pol\u00edticas de cuarentena de AWS, la campa\u00f1a mantiene una fluctuaci\u00f3n continua en el n\u00famero y la frecuencia de las cuentas de las v\u00edctimas comprometidas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/elektra-leak-cryptojacking-attacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80230 de octubre de 2023\ue804Sala de redacci\u00f3nSeguridad en la nube \/ Criptomoneda Una nueva campa\u00f1a en curso denominada<\/p>\n","protected":false},"author":1,"featured_media":1022875,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,26662,4664,42020,152848,212841,8513,26506,4662,50201,212842,4668,246,201033,36,4654,201031,4659,4653,4655,4666,4665,201032,4660],"class_list":["post-1022874","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-aws","tag-como-hackear","tag-credenciales","tag-criptojacking","tag-elektraleak","tag-explotan","tag-expuestas","tag-filtracion-de-datos","tag-github","tag-iam","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1022874","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1022874"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1022874\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1022875"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1022874"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1022874"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1022874"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}