O grupo cibercriminoso UNC5537 foi responsável por uma série de ataques sofisticados que comprometeram centenas de contas em serviços de nuvem como AWS, Google Cloud (GCP) e Microsoft Azure, resultando no roubo de milhões de dólares em créditos e recursos de computação. A operação, investigada pela Mandiant, teve como ponto de partida o uso de chaves de acesso expostas em repositórios públicos ou mal configuradas.
Após obter acesso, os criminosos implantavam instâncias de mineração de criptomoedas em larga escala, utilizando os recursos das vítimas de forma silenciosa por longos períodos. Em diversos casos, alertas de monitoramento foram desativados ou configurados para não gerar notificações, dificultando a detecção das atividades ilegítimas.
O grupo também utilizou ferramentas legítimas das próprias plataformas de nuvem para camuflar suas ações, evitando disparar mecanismos de defesa baseados em comportamento anômalo. A campanha, que se estendeu por vários meses, afetou principalmente pequenas e médias empresas, muitas das quais não dispunham de políticas sólidas de segurança na nuvem. Algumas organizações relataram prejuízos superiores a US$ 100 mil em poucos dias.
Como medida de mitigação, a Mandiant recomenda auditorias periódicas das chaves de acesso, restrição de permissões desnecessárias, ativação de alertas automatizados para identificar uso incomum de recursos, revisão detalhada de logs e a adoção de autenticação multifator.
