Especialistas alertam que cibercriminosos estão mirando clientes da Amazon Web Services (AWS) com ataques de mineração de criptomoedas, utilizando serviços como Amazon EC2 e Amazon ECS.

A gigante da nuvem emitiu um aviso sobre essa campanha em um relatório recente, informando que o problema foi contornado, mas recomenda que os usuários permaneçam vigilantes, já que tais ataques podem facilmente ressurgir.

Em início de novembro de 2025, engenheiros do Amazon GuardDuty detectaram os ataques ao notar a repetição de técnicas em várias contas AWS. Uma investigação subsequente revelou que os criminosos não estavam explorando vulnerabilidades conhecidas ou desconhecidas da AWS. Em vez disso, eles utilizavam credenciais de Gerenciamento de Identidade e Acesso (IAM) comprometidas, com permissões elevadas, para obter acesso. Assim que conseguiam entrar, empregavam esse acesso para implantar uma infraestrutura de mineração em larga escala no ambiente da nuvem.

A maioria dos mineradores de criptomoedas estava em funcionamento em poucos minutos após o acesso inicial. Os atacantes agiram rapidamente para enumerar cotas de serviço e permissões, lançando dezenas de clusters ECS e grandes grupos de autoescalonamento EC2. Em algumas situações, esses grupos eram configurados para crescer rapidamente, visando maximizar o consumo computacional.

Os hackers adotaram abordagens distintas nos ataques ao ECS e EC2. No ECS, foram implantadas imagens de contêiner maliciosas hospedadas no Docker Hub, que executavam o minerador no AWS Fargate. Já no EC2, criaram vários modelos de lançamento e grupos de autoescalonamento que visavam instâncias de GPU de alto desempenho, além de instâncias de computação de uso geral.

A Amazon também destacou que os criminosos utilizaram a proteção contra terminação de instâncias, dificultando o desligamento ou a correção remota de pontos de extremidade comprometidos. Além disso, criaram funções AWS Lambda acessíveis publicamente e usuários IAM adicionais.

Para se defender contra esses ataques, a Amazon sugere que os clientes priorizem o fortalecimento das práticas de gerenciamento de identidade e acesso. O relatório recomenda a implementação de credenciais temporárias em vez de chaves de acesso de longo prazo, a aplicação de autenticação multifator (MFA) para todos os usuários e a adoção do princípio do menor privilégio para os usuários IAM, limitando o acesso apenas às permissões necessárias.