{"id":767255,"date":"2023-05-22T17:28:57","date_gmt":"2023-05-22T17:28:57","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-ciberdelincuentes-indonesios-aprovechan-aws-para-operaciones-rentables-de-criptomineria\/"},"modified":"2023-05-22T17:28:57","modified_gmt":"2023-05-22T17:28:57","slug":"los-ciberdelincuentes-indonesios-aprovechan-aws-para-operaciones-rentables-de-criptomineria","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-ciberdelincuentes-indonesios-aprovechan-aws-para-operaciones-rentables-de-criptomineria\/","title":{"rendered":"Los ciberdelincuentes indonesios aprovechan AWS para operaciones rentables de criptominer\u00eda"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Criptomoneda \/ Seguridad en la nube<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEh3CHScRqcKS7PwL-oce_WjeNwa0Sl2eIq-gNhlPHJoG-hYRAtkqL2jrNAmLQagkSVgt-aR1wRRcwVGNqN6yn9b1oS5E0VchRELzhSykTZ5r-QTVSDjBtAawUdPlSmzqr2bR_-A7tb-hSUgePACaFcbsccKo-l8n8DoR_RefDhfXBGkXNIFLrrGRuPg\/s728-e3650\/aws.jpg\" alt=\"Criptominer\u00eda\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Criptominer\u00eda\"\/><\/div>\n<p>Se ha observado a un actor de amenazas con motivaci\u00f3n financiera de origen indonesio que aprovecha las instancias de Amazon Web Services (AWS) Elastic Compute Cloud (EC2) para llevar a cabo operaciones il\u00edcitas de criptominer\u00eda.<\/p>\n<p>Permiso P0 Labs de la compa\u00f1\u00eda de seguridad en la nube, que detect\u00f3 por primera vez al grupo en noviembre de 2021, le asign\u00f3 el apodo <strong>GUI-vil<\/strong> (pronunciado Goo-ee-vil).<\/p>\n<p>&#8220;El grupo muestra una preferencia por las herramientas de interfaz gr\u00e1fica de usuario (GUI), espec\u00edficamente el navegador S3 (versi\u00f3n 9.5.5) para sus operaciones iniciales&#8221;, dijo la compa\u00f1\u00eda en un informe compartido con The Hacker News.  &#8220;Al obtener acceso a la consola de AWS, realizan sus operaciones directamente a trav\u00e9s del navegador web&#8221;.<\/p>\n<p>Las cadenas de ataque montadas por GUI-vil implican la obtenci\u00f3n de acceso inicial mediante el armamento de claves de AWS en repositorios de c\u00f3digo fuente expuestos p\u00fablicamente en GitHub o el escaneo de instancias de GitLab que son vulnerables a fallas de ejecuci\u00f3n remota de c\u00f3digo (por ejemplo, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-22205\" target=\"_blank\">CVE-2021-22205<\/a>).<\/p>\n<p>A un ingreso exitoso le sigue una escalada de privilegios y un reconocimiento interno para revisar todos los dep\u00f3sitos S3 disponibles y determinar los servicios a los que se puede acceder a trav\u00e9s de la consola web de AWS.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEi-wqMQB2jvy2co5rrJP7SzsydnIdZ-fEf7WfDc9OnfEdr8kt3t2-aL2mS5LCRUBYnjsZa8OKAEF8goHiPS_8vXtytGZV6PfACz0D51iShYjUffqHFsNDX-P-9l3wGhuwAUEQ7R_Cmj6fleeyeTJNdh-xn4fQ2S782773uzU3YYf9ag35Neq1qV9-ex\/s728-e3650\/crypto.jpg\" alt=\"Miner\u00eda criptogr\u00e1fica de AWS\" border=\"0\" data-original-height=\"396\" data-original-width=\"728\" title=\"Miner\u00eda criptogr\u00e1fica de AWS\"\/><\/div>\n<p>Un aspecto notable del modus operandi del actor de amenazas es su intento de mezclarse y persistir dentro del entorno de la v\u00edctima mediante la creaci\u00f3n de nuevos usuarios que se ajustan a la misma convenci\u00f3n de nomenclatura y, en \u00faltima instancia, cumplen sus objetivos.<\/p>\n<p>&#8220;GUI-vil tambi\u00e9n crear\u00e1 claves de acceso para las nuevas identidades que est\u00e1n creando para que puedan continuar usando <a rel=\"nofollow noopener\" href=\"https:\/\/s3browser.com\/\" target=\"_blank\">Navegador S3<\/a> con estos nuevos usuarios&#8221;, explic\u00f3 la compa\u00f1\u00eda.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249, 251, 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217, 222, 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Alternativamente, el grupo tambi\u00e9n ha sido visto <a rel=\"nofollow noopener\" href=\"https:\/\/s3browser.com\/iam-aws-identity-and-access-management.aspx\" target=\"_blank\">creaci\u00f3n de perfiles de inicio de sesi\u00f3n<\/a> para los usuarios existentes que no los tienen para habilitar el acceso a la consola de AWS sin levantar banderas rojas.<\/p>\n<p>Los v\u00ednculos de GUI-vil con Indonesia se derivan del hecho de que las direcciones IP de origen asociadas con las actividades est\u00e1n vinculadas a dos N\u00fameros de Sistema Aut\u00f3nomo (ASN) ubicados en el pa\u00eds del sudeste asi\u00e1tico.<\/p>\n<p>&#8220;La misi\u00f3n principal del grupo, impulsada financieramente, es crear instancias EC2 para facilitar sus actividades de criptominer\u00eda&#8221;, dijeron los investigadores.  &#8220;En muchos casos, las ganancias que obtienen de la criptominer\u00eda son solo una peque\u00f1a parte del gasto que las organizaciones v\u00edctimas tienen que pagar por ejecutar las instancias EC2&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/indonesian-cybercriminals-exploit-aws.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 de mayo de 2023\ue804Ravie Lakshman\u00e1nCriptomoneda \/ Seguridad en la nube Se ha observado a un actor de<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,38098,4661,26662,13476,4664,3952,4662,53273,4668,4667,36,4654,4658,4659,4653,4655,1621,18,4663,50964,4666,4665,4660],"class_list":["post-767255","post","type-post","status-publish","format-standard","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovechan","tag-ataques-ciberneticos","tag-aws","tag-ciberdelincuentes","tag-como-hackear","tag-criptomineria","tag-filtracion-de-datos","tag-indonesios","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-operaciones","tag-para","tag-programa-malicioso-ransomware","tag-rentables","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/767255","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=767255"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/767255\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=767255"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=767255"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=767255"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}