Investigadores da Amazon Web Services (AWS) identificaram uma campanha de uso malicioso de credenciais IAM comprometidas que está sendo explorada por cibercriminosos para realizar operações de mineração de criptomoedas em larga escala dentro de ambientes em nuvem. Os ataques ocorrem por meio de acessos legítimos, o que dificulta a detecção por ferramentas tradicionais. O esquema começa com a obtenção de chaves de acesso IAM vazadas ou roubadas, que permitem aos atacantes interagir com os serviços da AWS como se fossem usuários legítimos.
Em menos de dez minutos após a invasão, os operadores já ativam clusters de contêineres no ECS e instâncias EC2, configuradas para minerar criptomoedas. Ao explorar permissões mal configuradas, os criminosos criam dezenas de clusters ECS simultâneos, muitas vezes com ajustes específicos para ocultar o consumo excessivo de recursos e manter persistência. A tática gera prejuízo direto às empresas afetadas, que arcam com os custos da infraestrutura usada ilegalmente. A atividade foi considerada altamente automatizada e sofisticada, com scripts que não apenas iniciam os clusters de mineração, mas também fazem ajustes finos em logs e permissões para dificultar a identificação do abuso. Em alguns casos, o ataque só foi detectado após picos anormais de uso computacional.
Um ponto crítico da campanha é que as ações são realizadas com credenciais válidas, o que torna o tráfego indistinguível de usuários legítimos, especialmente em organizações que não possuem monitoramento avançado ou políticas de segurança granular. Isso transforma o ataque em uma ameaça silenciosa, porém altamente dispendiosa. De acordo com a AWS, as credenciais utilizadas provavelmente vieram de vazamentos externos, repositórios públicos ou configurações inseguras, reforçando a importância de proteger informações sensíveis, revisar permissões ativamente e evitar o uso de chaves de longa duração. A empresa recomenda práticas como autenticação multifator, auditoria constante de políticas IAM, rotação frequente de credenciais e uso de serviços como GuardDuty para detectar comportamentos anômalos. Mesmo assim, o caso mostra que o controle de identidades continua sendo um dos principais desafios da segurança em nuvem.
