AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Campaña de cripto-minería ataca AWS EC2 y ECS mediante credenciales IAM comprometidas**

admin

### 1. Introducción

El equipo de seguridad de AWS GuardDuty ha detectado y alertado sobre una campaña de cripto-minería en curso que afecta a los servicios Elastic Compute Cloud (EC2) y Elastic Container Service (ECS). Los actores de amenazas están aprovechando credenciales comprometidas de Identity and Access Management (IAM) para acceder y desplegar cargas maliciosas orientadas a la extracción ilícita de criptomonedas. Este incidente pone de manifiesto el creciente interés de los ciberdelincuentes en infraestructuras cloud y las consecuencias derivadas de una gestión inadecuada de los accesos y permisos en entornos críticos.

### 2. Contexto del Incidente

La proliferación de ataques dirigidos a entornos cloud no es un fenómeno nuevo, pero la sofisticación y frecuencia de las campañas de cripto-minería en AWS evidencia una tendencia al alza durante 2024. AWS EC2 y ECS, servicios ampliamente utilizados para la ejecución y orquestación de cargas de trabajo, son objetivos recurrentes debido a su capacidad de procesamiento y a la posibilidad de escalar recursos bajo demanda. En este caso, los atacantes han focalizado su actividad en la obtención y abuso de credenciales IAM, permitiendo el acceso no autorizado a recursos gestionados por la víctima y el despliegue de software de minería.

Según datos internos de AWS, cerca del 2,8% de los incidentes reportados en el último trimestre estuvieron relacionados con cripto-minería ilícita en infraestructuras cloud, lo que supone un aumento del 35% respecto al año anterior.

### 3. Detalles Técnicos

**Identificadores y vulnerabilidades asociadas:**
Aunque no se ha publicado un CVE específico para este incidente, el vector de ataque principal es el abuso de credenciales IAM expuestas o comprometidas, muchas veces obtenidas a través de repositorios públicos, endpoints mal configurados o campañas de phishing dirigidas.

**Vectores de ataque:**
– Exposición accidental de claves de acceso en repositorios GitHub u otros sistemas de control de versiones.
– Reutilización de credenciales IAM en aplicaciones y scripts automatizados.
– Malas prácticas en la rotación y protección de secretos.

**TTPs (Tácticas, Técnicas y Procedimientos) MITRE ATT&CK relevantes:**
– T1078 (Valid Accounts): Uso de cuentas válidas para acceder a la infraestructura.
– T1086 (PowerShell) y T1059 (Command and Scripting Interpreter): Empleo de intérpretes de comandos en instancias comprometidas.
– T1496 (Resource Hijacking): Secuestro de recursos computacionales para minería.

**Indicadores de compromiso (IoC) observados:**
– Instalación de binarios de minería como XMRig o variantes personalizadas.
– Picos anómalos en el consumo de CPU y uso de red en instancias EC2/ECS.
– Comunicación saliente hacia pools de minería de Monero (puertos 3333, 4444, 5555).
– Modificación de reglas de seguridad para permitir tráfico no autorizado.

**Herramientas y frameworks utilizados:**
En la fase de post-explotación, los atacantes han empleado scripts automatizados para la descarga y ejecución de mineros, así como herramientas como Metasploit y Cobalt Strike para el reconocimiento y movimiento lateral en la infraestructura cloud.

### 4. Impacto y Riesgos

El impacto principal de este tipo de campañas se traduce en:
– Consumo indebido de recursos cloud, con incrementos de hasta un 400% en la facturación mensual de AWS.
– Posible degradación de servicios críticos y denegación de servicio parcial.
– Exposición y robo de datos sensibles almacenados en instancias comprometidas.
– Riesgo de detección tardía y propagación lateral a otros servicios cloud.
– Implicaciones legales por incumplimiento de normativas como la GDPR o NIS2, especialmente si se comprometen datos personales de clientes europeos.

### 5. Medidas de Mitigación y Recomendaciones

– **Rotación inmediata** de credenciales IAM y auditoría de accesos.
– Configuración de políticas de privilegios mínimos y revisión periódica de roles IAM.
– Implementación de AWS GuardDuty y AWS CloudTrail para la detección y monitorización continua de amenazas.
– Uso de herramientas de gestión de secretos (AWS Secrets Manager) y escaneo automático de repositorios en busca de credenciales expuestas.
– Protección de endpoints y segmentación de redes para limitar el movimiento lateral.
– Establecimiento de alertas en métricas de consumo anómalo (CloudWatch).
– Formación continua a los equipos de desarrollo y operaciones en buenas prácticas de seguridad cloud.

### 6. Opinión de Expertos

Carlos Fernández, CISO de una consultora de ciberseguridad española, señala:
“Este tipo de ataques pone en evidencia la importancia de adoptar una estrategia Zero Trust en entornos cloud; la sobreexposición de credenciales y la falta de segmentación siguen siendo el talón de Aquiles de muchas organizaciones”.

Por su parte, expertos del AWS Security Hub recomiendan automatizar los procesos de detección y respuesta, integrando soluciones SIEM/SOAR para reducir el tiempo de reacción ante incidentes de esta naturaleza.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este incidente remarca la necesidad de revisar y fortalecer sus políticas de gestión de identidades y accesos, así como de mantener una vigilancia activa sobre los recursos desplegados en la nube. La afectación a la disponibilidad y costes operativos puede ser significativa, especialmente en organizaciones que hacen un uso intensivo de EC2 y ECS. Los usuarios finales, si bien menos expuestos directamente, también se ven afectados por la posible degradación de servicios y la exposición de datos personales.

El endurecimiento de la legislación europea (GDPR, NIS2) obliga a las organizaciones a reportar y mitigar este tipo de incidentes de forma diligente, bajo el riesgo de sanciones económicas relevantes.

### 8. Conclusiones

Las campañas de cripto-minería en AWS, sustentadas en la explotación de credenciales IAM comprometidas, representan una amenaza creciente para la seguridad y la economía de las organizaciones. La implementación de controles de acceso robustos, la monitorización continua y la formación del personal son medidas imprescindibles para mitigar estos riesgos en entornos cloud altamente dinámicos y expuestos.

(Fuente: www.bleepingcomputer.com)