TeamTNT Criminal Group

TeamTNT é o nome dado a um grupo de criminais cibernéticos especializado em operações de mineração de criptografia. Embora houvesse pouco para diferenciá-los do resto dos outros grupos de hackers que realizam esses tipos de ataques, parece que o TeamTNT está evoluindo suas operações e agora foi relatado que consegue coletar credenciais do Amazon Web Services (AWS) do servidores infectados.

Quando o TeamTNT chamou a atenção dos pesquisadores de segurança cibernética pela primeira vez, ele tinha como alvo os sistemas Docker que haviam sido configurados incorretamente e tinham API de nível de gerenciamento sem proteção por senha deixada aberta para a Internet. Uma vez dentro da rede, os hackers implantariam servidores que executariam DDoS e operações de mineração de criptografia.

O TeamTNT Criminal Group está Evoluindo

Desde então, no entanto, os hackers conseguiram expandir suas operações ramificando e adicionando instalações do Kubernetes como alvos em potencial. Mais importante, de acordo com os pesquisadores de segurança cibernética da Cado Security, o TeamTNT incluiu um digitalizador que verifica os servidores infectados e coleta credenciais da AWS. O grupo de hackers procura os arquivos '/.aws/credentials' e '/.aws/config', em particular, copia-os e envia os dois arquivos para o servidor Command-and-Control (C2) usado para a campanha de ataque. Deve-se observar que ambos os arquivos são criptografados e armazenam credenciais para a infraestrutura AWS em formato de texto simples.

Embora pareça que o TeamTNT ainda não começou a explorar o seu acesso às credenciais da AWS, eles podem começar a fazer isso a qualquer momento, pois isso representa uma grande oportunidade monetária para eles. Os hackers poderiam simplesmente vender as credenciais coletadas para ganhos diretos ou usá-las para expandir as suas atividades criminosas de maneira significativa, aproveitando o acesso em potencial aos clusters AWS EC2 e instalando malware de mineração de criptografia diretamente.