Hackers usam AWS e Azure para ataques cibernéticos em larga escala

05/02/2025 mindsecblog Notícias 0

Hackers usam AWS e Azure para ataques cibernéticos em larga escala.

A Silent Push, uma empresa de pesquisa de segurança cibernética, introduziu o termo “lavagem de infraestrutura” para descrever um método sofisticado usado por cibercriminosos para explorar serviços legítimos de hospedagem em nuvem para fins ilegais.

Essa prática envolve o aluguel de endereços IP de provedores convencionais, como Amazon Web Services (AWS) e Microsoft Azure, e mapeá-los para sites criminosos por meio de redes de entrega de conteúdo (CDNs), como FUNNULL.

Apesar dos esforços desses provedores para bloquear contas e IPs fraudulentos, as táticas de aquisição rápida dos criminosos continuam a superar a fiscalização.

A FUNNULL, uma CDN ligada a grupos do crime organizado transnacional, alugou mais de 1.200 IPs da AWS e quase 200 da Microsoft.

Microsoft Azure — *Mapa de cadeias FUNNULL CNAME*

Embora a maioria deles tenha sido removida, novos IPs são adquiridos regularmente usando contas roubadas ou fraudulentas.

A Silent Push identificou a infraestrutura da FUNNULL como hospedando mais de 200.000 domínios exclusivos, gerados principalmente por meio de Algoritmos de Geração de Domínio (DGAs), muitos dos quais estão associados a esquemas de phishing, golpes de investimento e operações de lavagem de dinheiro.

A mecânica da lavagem de infraestrutura

Ao contrário da tradicional “hospedagem à prova de balas”, em que os servidores resistem às tentativas de remoção operando em jurisdições com regulamentações frouxas, a lavagem de infraestrutura aproveita plataformas de nuvem legítimas para ocultar atividades ilícitas.

Ao incorporar suas operações em ambientes de hospedagem respeitáveis, os agentes de ameaças ganham uma camada de legitimidade que complica a detecção e a mitigação.

Essa técnica também garante acesso global rápido para seus sites, tornando difícil para os defensores bloquear o tráfego sem interromper os serviços legítimos hospedados pelos mesmos provedores.

A pesquisa da Silent Push destaca o uso de cadeias de mapeamento CNAME dentro do CDN da FUNNULL como uma tática chave.

Essas cadeias vinculam domínios de clientes a vários endereços IP em diferentes regiões, criando uma infraestrutura descentralizada que é difícil de rastrear em tempo real.

A capacidade dos criminosos de adquirir repetidamente novos IPs ressalta as lacunas nos mecanismos de monitoramento e fiscalização dos provedores de nuvem.

Implicações para a segurança e regulamentação da nuvem

As descobertas levantam questões críticas sobre o papel dos provedores de nuvem no combate ao crime cibernético.

O Silent Push questiona por que os principais provedores ainda não implementaram sistemas de detecção em tempo real capazes de identificar e bloquear essas atividades em escala.

O relatório também enfatiza a necessidade de um escrutínio mais rigoroso dos intermediários terceirizados que facilitam essas operações, bem como uma colaboração internacional mais forte para lidar com a convergência do crime cibernético e do crime organizado tradicional.

A Amazon respondeu ao relatório negando qualquer cumplicidade e enfatizando seus esforços para suspender contas fraudulentas vinculadas ao FUNNULL.

A empresa afirmou que incorre em danos decorrentes de tais atividades e está comprometida em melhorar suas capacidades de detecção.

No entanto, o Silent Push argumenta que são necessárias medidas mais proativas para impedir que redes criminosas explorem os principais serviços de hospedagem.

Fonte: GBHackers