Campanha de Malware Alvo de Clientes da AWS para Mineração de Criptomoedas

BR Defense Center (By River de Morais e Silva)
malware

Uma nova campanha de cibersegurança está atacando clientes da Amazon Web Services (AWS) utilizando credenciais comprometidas de Gerenciamento de Identidade e Acesso (IAM) para realizar mineração de criptomoedas. Detectada pela primeira vez em 2 de novembro de 2025 pelo serviço de detecção de ameaças GuardDuty da Amazon, a atividade emprega técnicas de persistência inovadoras para dificultar a resposta a incidentes. Os atacantes, operando de um provedor de hospedagem externo, rapidamente enumeraram recursos e permissões antes de implantar recursos de mineração em ECS e EC2. Em menos de 10 minutos após o acesso inicial, os mineradores estavam operacionais.

A cadeia de ataque começa com o uso de credenciais IAM comprometidas para explorar o ambiente, utilizando a API RunInstances com a flag ‘DryRun’ para validar permissões sem gerar custos. Os atacantes criaram dezenas de clusters ECS e invocaram uma imagem Docker maliciosa para iniciar a mineração. Uma técnica notável é o uso da ação ModifyInstanceAttribute com o parâmetro ‘disableApiTermination’ ativado, o que impede a terminação de instâncias, complicando a resposta a incidentes. A Amazon recomenda que os clientes da AWS implementem controles rigorosos de IAM, autenticação multifatorial e monitorem solicitações incomuns de alocação de CPU para se proteger contra essas ameaças.

Fonte: https://thehackernews.com/2025/12/compromised-iam-credentials-power-large.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
16/12/2025 • Risco: ALTO
MALWARE

Campanha de Malware Alvo de Clientes da AWS para Mineração de Criptomoedas

RESUMO EXECUTIVO
Este incidente destaca a necessidade urgente de reforçar a segurança em ambientes AWS, especialmente em relação ao gerenciamento de identidade e acesso. A técnica de impedir a terminação de instâncias pode complicar a resposta a incidentes, aumentando o tempo de exposição a riscos.

💼 IMPACTO DE NEGÓCIO

Financeiro
Custos operacionais elevados devido à mineração não autorizada e possíveis multas por não conformidade.
Operacional
Mineração não autorizada de criptomoedas, comprometimento de recursos computacionais.
Setores vulneráveis
['Tecnologia', 'Financeiro', 'E-commerce']

📊 INDICADORES CHAVE

Mais de 50 clusters ECS criados em um único ataque. Indicador
Escalonamento de grupos de autoscaling de 20 a 999 instâncias. Contexto BR
Mineração operacional em menos de 10 minutos após o acesso inicial. Urgência

⚡ AÇÕES IMEDIATAS

1 Auditar credenciais IAM e verificar permissões de acesso.
2 Implementar autenticação multifatorial (MFA) para todos os usuários.
3 Monitorar solicitações de alocação de CPU e atividades em ECS e EC2.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de exploração de credenciais e a capacidade dos atacantes de prolongar operações maliciosas, o que pode resultar em custos significativos e comprometimento de dados.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD, especialmente em relação ao uso indevido de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).