...
Gui Vil

Gui-Vil: El Grupo Indonesio Explotando Amazon EC2 para Criptominería

1. El Amanecer de Gui-Vil: Un Nuevo Actor de Amenaza

Detectado por primera vez en noviembre de 2021 por P0 Labs, un grupo de amenaza de origen indonesio, apodado Gui-Vil, ha estado utilizando instancias de Amazon Web Services (AWS) EC2 para actividades ilícitas de minería de criptomonedas.

2. Las Herramientas de Gui-Vil: Navegador S3 y Más

Gui-Vil se caracteriza por el uso de herramientas de interfaz de usuario gráfica (GUI), en particular el navegador S3 para sus operaciones iniciales. Gui-Vil obtiene acceso inicial al explotar claves AWS en repositorios de código fuente en GitHub o al buscar instancias de GITLAB vulnerables.

3. Gui-Vil y su Modus Operandi en la Minería de Criptomonedas

Tras obtener el acceso inicial, Gui-Vil realiza una serie de operaciones que incluyen escalada de privilegios y reconocimiento interno para determinar los servicios accesibles a través de la consola web de AWS. Gui-Vil persiste en el entorno de sus víctimas, creando nuevos usuarios para continuar con la minería de criptomonedas.

El objetivo principal de Gui-Vil es crear instancias de EC2 para sus actividades de minería criptográfica, siendo su motivación principal el beneficio financiero. Sin embargo, las ganancias que obtiene Gui-Vil son solo una parte de los gastos que las organizaciones afectadas deben cubrir por la ejecución de las instancias de EC2.

El vínculo de Gui-Vil con Indonesia se ha confirmado por las direcciones IP asociadas con sus actividades, vinculadas a dos números de sistema autónomo en el país del sudeste asiático.

En resumen, el caso de Gui-Vil destaca la importancia de mantener una estrategia de seguridad robusta para prevenir y responder a amenazas similares en el futuro.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio