Hackers roubam credenciais e usam instâncias EC2 da AWS para minerar criptomoedas

Uma campanha em larga escala de mineração de criptomoedas está explorando credenciais comprometidas do Identity and Access Management (IAM) para abusar de recursos da Amazon Web Services (AWS). A atividade foi identificada inicialmente em 2 de novembro de 2025 pelos sistemas automatizados de monitoramento de segurança da própria Amazon, incluindo o serviço GuardDuty, e chamou atenção pelo uso de técnicas inéditas de persistência voltadas a dificultar a resposta a incidentes.

Segundo a Amazon, os hackers operam a partir de provedores de hospedagem externos e, após obter acesso inicial com credenciais IAM com privilégios administrativos ou equivalentes, realizam rapidamente o mapeamento do ambiente. Em menos de 10 minutos após a invasão, os recursos de mineração de criptomoedas já estavam em execução, utilizando serviços como Amazon ECS, EC2 e Fargate.

O ataque segue uma cadeia em múltiplos estágios. Inicialmente, os hackers utilizam credenciais IAM comprometidas para enumerar permissões e limites de serviço, testando a capacidade de criação de instâncias EC2 por meio da API RunInstances com o parâmetro DryRun ativado. Essa técnica permite validar permissões sem efetivamente iniciar instâncias, evitando custos imediatos e reduzindo rastros forenses, ao mesmo tempo em que avalia se o ambiente é viável para a mineração.

Na etapa seguinte, os invasores criam funções e permissões adicionais, utilizando chamadas como CreateServiceLinkedRole e CreateRole para configurar papéis de IAM associados a grupos de autoscaling e funções AWS Lambda. Em seguida, políticas gerenciadas, como AWSLambdaBasicExecutionRole, são associadas a essas funções para ampliar o controle do ambiente comprometido.

A investigação da Amazon identificou a criação de dezenas de clusters ECS por ataque em alguns casos, mais de 50 em um único ambiente. Os hackers registram definições de tarefas maliciosas apontando para uma imagem Docker hospedada no DockerHub, posteriormente removida, que executava automaticamente um script de shell responsável por iniciar a mineração de criptomoedas utilizando o algoritmo RandomVIREL. Além disso, foram criados grupos de autoscaling configurados para escalar de 20 até 999 instâncias, explorando ao máximo as cotas de serviço da AWS.

A campanha mira uma ampla variedade de instâncias EC2, incluindo modelos de alto desempenho com GPU, instâncias voltadas a machine learning, além de recursos de uso geral, computação e memória. O objetivo é maximizar o consumo de recursos e, consequentemente, os ganhos com a mineração ilícita.

Um dos aspectos mais preocupantes da campanha é o uso da ação ModifyInstanceAttribute com o parâmetro disableApiTermination definido como True. Essa configuração impede que as instâncias sejam encerradas via console, linha de comando ou API da AWS, forçando as vítimas a reabilitar manualmente a possibilidade de término antes de remover os recursos comprometidos. De acordo com a Amazon, essa técnica prejudica significativamente os processos de resposta a incidentes e remediação automatizada, demonstrando conhecimento profundo dos procedimentos operacionais de segurança em ambientes cloud.

Além disso, os hackers criaram funções Lambda acessíveis por qualquer principal e um usuário IAM específico, ao qual foi atribuída a política AmazonSESFullAccess, concedendo controle total sobre o Amazon Simple Email Service (SES). Essa configuração pode indicar a intenção de utilizar a conta comprometida para o envio de campanhas de phishing ou outras atividades maliciosas.

Como medida preventiva, a Amazon reforçou recomendações de segurança, incluindo a adoção rigorosa do princípio do menor privilégio, uso de credenciais temporárias, autenticação multifator (MFA), monitoramento de eventos via AWS CloudTrail, análise de imagens de contêineres e atenção a solicitações anômalas de CPU em definições de tarefas ECS. A empresa conclui que essa campanha representa uma evolução significativa nas técnicas de ataque voltadas à mineração de criptomoedas em ambientes de nuvem.

Via - THN