Google ha pubblicato un report, “Threat horizons”, che mira a fornire informazioni per aiutare le organizzazioni nella protezione dei propri ambienti cloud. Secondo lo studio, su 50 account Google Cloud compromessi di recente, l’86% è stato utilizzato per eseguire mining di criptovaluta. L’attività di mining richiede grandi quantità di potenza di calcolo, cui i clienti di Google Cloud possono accedere a un determinato costo. Il Bitcoin è stato infatti criticato per essere una criptovaluta troppo energivora: il mining di bitcoin utilizza più energia di alcuni interi Paesi.
Nella maggior parte dei casi, secondo i dati diffusi da Google, il software di mining di criptovaluta è stato scaricato entro 22 secondi dalla violazione dell’account. Circa il 10% degli account compromessi è stato utilizzato anche per eseguire scansioni di altre risorse disponibili pubblicamente su Internet per identificare i sistemi vulnerabili, mentre l′8% delle istanze è stato utilizzato per attaccare altri obiettivi.
Secondo Google gli account sono stati violati soprattutto a causa delle cattive pratiche di sicurezza dei clienti. Quasi la metà degli account compromessi è stata attribuita ad attori che hanno avuto accesso a un account Cloud con connessione a Internet senza password o con una password debole. Di conseguenza, questi account Google Cloud potrebbero essere facilmente scansionati e brutalmente forzati. Circa un quarto degli account compromessi era dovuto a vulnerabilità nel software di terze parti installato dal proprietario.
Bob Mechler, direttore dell’ufficio del responsabile della sicurezza delle informazioni di Google Cloud, e Seth Rosenblatt, redattore della sicurezza di Google Cloud, hanno scritto: “Il panorama delle minacce cloud nel 2021 va ben oltre i semplici minatori di criptovaluta”, quindi esistono altre minacce. Secondo quanto riferito, Google ha anche bloccato un attacco di phishing da parte del gruppo russo APT28/Fancy Bear alla fine di settembre. Inoltre i ricercatori di Google hanno identificato un gruppo sostenuto dal governo nordcoreano che si spacciava per reclutatori Samsung allo scopo di inviare allegati dannosi ai dipendenti di diverse società di sicurezza informatica anti-malware sudcoreane.