Tabla de Contenidos
1. El Amanecer de Gui-Vil: Un Nuevo Actor de Amenaza
Detectado por primera vez en noviembre de 2021 por P0 Labs, un grupo de amenaza de origen indonesio, apodado Gui-Vil, ha estado utilizando instancias de Amazon Web Services (AWS) EC2 para actividades ilícitas de minería de criptomonedas.
2. Las Herramientas de Gui-Vil: Navegador S3 y Más
Gui-Vil se caracteriza por el uso de herramientas de interfaz de usuario gráfica (GUI), en particular el navegador S3 para sus operaciones iniciales. Gui-Vil obtiene acceso inicial al explotar claves AWS en repositorios de código fuente en GitHub o al buscar instancias de GITLAB vulnerables.
3. Gui-Vil y su Modus Operandi en la Minería de Criptomonedas
Tras obtener el acceso inicial, Gui-Vil realiza una serie de operaciones que incluyen escalada de privilegios y reconocimiento interno para determinar los servicios accesibles a través de la consola web de AWS. Gui-Vil persiste en el entorno de sus víctimas, creando nuevos usuarios para continuar con la minería de criptomonedas.
El objetivo principal de Gui-Vil es crear instancias de EC2 para sus actividades de minería criptográfica, siendo su motivación principal el beneficio financiero. Sin embargo, las ganancias que obtiene Gui-Vil son solo una parte de los gastos que las organizaciones afectadas deben cubrir por la ejecución de las instancias de EC2.
El vínculo de Gui-Vil con Indonesia se ha confirmado por las direcciones IP asociadas con sus actividades, vinculadas a dos números de sistema autónomo en el país del sudeste asiático.
En resumen, el caso de Gui-Vil destaca la importancia de mantener una estrategia de seguridad robusta para prevenir y responder a amenazas similares en el futuro.
Articulo Similar: El Grupo de hackers FIN7 Implementa el Ransomware Cl0p
