Crypto Mining Lampo su AWS: credenziali IAM rubate scatenano cluster ECS/EC2 e bollette alle stelle

News
Visite: 149

Una vasta campagna di crypto mining su AWS sta colpendo organizzazioni che hanno subito il furto di credenziali IAM con privilegi elevati. In questo scenario gli attaccanti non sfruttano una vulnerabilita del cloud, ma l’accesso gia ottenuto tramite chiavi e utenti compromessi, e poi automatizzano rapidamente la distribuzione di workload malevoli su servizi come Amazon ECS e Amazon EC2. Un elemento critico e la velocita di esecuzione: dopo l’accesso iniziale, in pochi minuti vengono avviati miner di criptovalute, con impatto diretto sui costi e sulla disponibilita delle risorse.

Catena di attacco e ricognizione

La catena di attacco inizia con una fase di ricognizione. Gli aggressori enumerano risorse e permessi, verificano i limiti di quota di EC2 e testano le autorizzazioni usando la chiamata RunInstances con parametro DryRun. Questo passaggio e strategico perche consente di confermare i permessi senza avviare istanze reali, riducendo tracce e costi durante la preparazione. Una volta validata la capacita di operare, la campagna passa alla creazione di ruoli IAM mirati, inclusi ruoli per autoscaling e per AWS Lambda, con policy gestite utili a eseguire funzioni e mantenere operativita.

Abuso di container e risorse di calcolo

Sul fronte container gli attaccanti creano numerosi cluster ECS, in alcuni casi decine in una sola incursione, registrano task definition che puntano a immagini Docker malevole e avviano servizi su nodi Fargate per eseguire mining. In parallelo vengono creati autoscaling group con valori di scaling molto aggressivi per saturare le quote e massimizzare la potenza di calcolo, includendo istanze ad alte prestazioni come GPU e machine learning oltre a istanze compute e memory.

Persistenza e ostacoli alla risposta

La parte piu insidiosa riguarda la persistenza e il rallentamento della risposta agli incidenti. Viene usata la protezione dalla terminazione tramite ModifyInstanceAttribute con disableApiTermination impostato a true, rendendo piu complessa la rimozione delle istanze compromesse finche non si ripristina manualmente la possibilita di terminazione. Inoltre possono comparire utenti IAM creati ad hoc e funzioni Lambda invocabili in modo ampio, con permessi che possono essere sfruttati anche per attivita secondarie come abuso di servizi email.

Misure di mitigazione consigliate

Per ridurre il rischio servono controlli IAM rigorosi, credenziali temporanee al posto di chiavi a lungo termine, MFA per tutti gli utenti, principio del minimo privilegio, controlli di sicurezza sui container con scansione immagini, monitoraggio di richieste anomale di CPU nei task ECS, logging con CloudTrail e rilevamento continuo con GuardDuty.

Pin It
, , , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.