Le rapport « Threat Horizon » de l’équipe d’action en matière de cybersécurité de la société technologique détaille les menaces de piratage qui pèsent sur le service de cloud computing.
Google a déclaré que les pirates avaient profité d’une mauvaise sécurité des clients ou de logiciels tiers vulnérables. Des cyberpirates utilisent des comptes cloud compromis pour extraire des crypto-monnaies, a averti Google.
Les détails du piratage minier sont contenus dans un rapport de l’équipe d’action en matière de cybersécurité de Google, qui repère les menaces de piratage contre son service en nuage – une collection de services informatiques à distance qui peuvent inclure le stockage des données et des fichiers des clients hors site – et donne des conseils sur la façon de les combattre.
Les autres menaces identifiées par l’équipe dans son premier rapport « threat horizon » sont les suivantes : Les pirates de l’État russe qui tentent d’obtenir les mots de passe des utilisateurs en les avertissant qu’ils ont été ciblés par des attaquants soutenus par le gouvernement ; les pirates nord-coréens qui se font passer pour des recruteurs d’emplois chez Samsung ; et l’utilisation d’un cryptage lourd dans les attaques de ransomware.
« Le minage » est le nom du processus par lequel les blockchains telles que celles qui sous-tendent les crypto-monnaies sont régulées et vérifiées, et nécessite une quantité importante de puissance de calcul. Google a indiqué que sur 50 piratages récents de son service de cloud computing, plus de 80 % ont été utilisés pour effectuer du minage de crypto-monnaies.
Le rapport indique que « 86 % des instances Google Cloud compromises ont été utilisées pour effectuer du minage de crypto-monnaies, une activité lucrative gourmande en ressources cloud », ajoutant que dans la majorité des cas, le logiciel de minage de crypto-monnaies a été téléchargé dans les 22 secondes suivant la compromission du compte. Google a déclaré que dans les trois quarts des piratages du cloud, les attaquants avaient profité d’une mauvaise sécurité des clients ou de logiciels tiers vulnérables.
Pour améliorer la sécurité de ses clients, Google recommande notamment l’authentification à deux facteurs – une couche de sécurité supplémentaire en plus d’un nom d’utilisateur et d’un mot de passe génériques – et l’adhésion au programme « work safer security » de l’entreprise.
Dans le rapport, Google indique que le groupe de pirates APT28, également connu sous le nom de Fancy Bear, soutenu par le gouvernement russe, a ciblé 12 000 comptes Gmail dans le cadre d’une tentative massive de hameçonnage, qui consiste à inciter les utilisateurs à communiquer leurs données de connexion. Les attaquants ont tenté d’inciter les détenteurs de comptes à communiquer leurs données par le biais d’un e-mail indiquant : « Nous pensons que des attaquants soutenus par le gouvernement essaient de vous piéger pour obtenir le mot de passe de votre compte ». Google a déclaré avoir bloqué tous les courriels de phishing de l’attaque – qui s’est concentrée sur le Royaume-Uni, les États-Unis et l’Inde – et qu’aucune donnée d’utilisateur n’avait été compromise.
Une autre ruse de piratage signalée par Google dans le rapport impliquait un groupe de pirates soutenu par la Corée du Nord qui se faisait passer pour des recruteurs de Samsung et envoyait de fausses offres d’emploi à des employés de sociétés de sécurité informatique sud-coréennes. Les victimes étaient ensuite dirigées vers un lien malveillant menant à un logiciel malveillant stocké dans Google Drive, qui a maintenant été bloqué.
Google a déclaré que la gestion des attaques par ransomware, où les fichiers et les données sur l’ordinateur d’un utilisateur sont chiffrés par l’attaquant jusqu’à ce qu’un paiement soit effectué pour leur libération, était difficile car le chiffrement lourd « rend la récupération des fichiers presque impossible sans payer l’outil de déchiffrement ». Le rapport souligne l’émergence de Black Matter, qu’il décrit comme une « redoutable famille de ransomware ».
Cependant, au début du mois, Black Matter a déclaré qu’il mettait fin à ses activités en raison de la « pression exercée par les autorités ». Parmi les victimes de Black Matter figure le groupe technologique japonais Olympus.
Le rapport de Google indique : « Google a reçu des informations selon lesquelles le groupe de ransomware Black Matter a annoncé qu’il allait cesser ses activités en raison de pressions extérieures. Jusqu’à ce que cela soit confirmé, Black Matter représente toujours un risque ».
https://thehackernews.com/2021/11/hackers-using-compromised-google-cloud.html
