Una clave robada, 45.000 dólares de factura en AWS: una estafa rocambolesca para minar 1.000 euros en Monero

Una clave robada, 45.000 dólares de factura en AWS: una estafa rocambolesca para minar 1.000 euros en Monero
31 comentarios

Jonny Platt estaba tan tranquilo en casa cuando vio el último extracto de su tarjeta de crédito: tenía que pagar 45.000 dólares por haber usado AWS a lo bestia. Espera, no era él. Fue un ciberdelincuente, que consiguió su clave del servicio y la usó para minar criptodivisas (en concreto, Monero) usando la plataforma de computación en la nube de Amazon.

Platt comprobó horrizado cómo en Amazon nadie respondía a sus peticiones de ayuda y soporte, y contaba su particular pesadilla en un hilo de Twitter que sirve como advertencia. Cuidado —una vez más— con datos sensibles como este, porque pueden ser usados para provocar problemas muy graves. Lo más triste es que el ciberdelincuente se gastó 45.000 dólares (de Platt) para lograr minar apenas 800 dólares en forma de Monero.

Una pesadilla causada por una vieja cuenta infrautilizada

Platt no entendía cómo su clave acabó en manos del ciberdelincuente, e indicaba que esa cuenta tenía más de nueve años y la usaba muy poco: solo para experimentar con viejos proyectos suyos en la plataforma de Amazon.

El ciberdelincuente simplemente accedió al servicio con sus credenciales y ejecutó un pequeño programa, un script bash, en el servicio AWS Lambda, una plataforma 'serverless computing' que permite ejecutar código y que además escala según las necesidades de ese código.

Fgkgx8yx0aif6mc
Este pequeño script bash fue el responsable de esa factura.

El código era un pequeño fichero de texto que era fácil de identificar: contenía una llamada a xmrig, una aplicación de minería que se usa con frecuencia en este tipo de hackeos. El script descargaba el minero cada tres minutos y lo ejecutaba durante 15 minutos como máximo en todas las regiones AWS que cubre el servicio en todo el mundo.

El resultado fue que durante semanas ese script estuvo ejecutándose y minando Monero. Platt solo se enteró cuando le llegó la factura del servicio, que por supuesto no era suya: de repente se encontró con que tenía que pagar 45.000 dólares.

Intentó ponerse en contacto con AWS mandando un ticket de soporte, pero 23 horas después de hacerlo aún no había logrado hablar con nadie. La opción era llamar por teléfono, pero para hacerlo tenía que pagar, y ese soporte es más caro cuanto más alto es el uso de AWS.

En su caso el problema era que debido a esa factura, la llamada le iba a salir por 2.000 o 3.000 dólares. Como explicaba este usuario, Amazon probablemente debería haber activado algún tipo de aviso al notar que el coste se incrementaba en un 150.000% de repente, como ocurrió en su caso.

Aquí indicaba que es cierto que Amazon ofrece una forma de configurar el sistema de anomalía de costos —se puede hacer desde este enlace si sois clientes del servicio—, pero esa opción no estaba disponible cuando él comenzó a usar el servicio hace nueve años y luego se olvidó de aquello.

Lo más trágico probablemente es que el ciberdelincuente gastó muchísimo dinero de Platt en AWS, y esa inversión solo sirvió para que minara 6 XMR, la criptodivisa de la plataforma Monero, unos 1.000 euros al precio actual.

Platt explicaba en Twitter cómo finalmente le llamaron desde Amazon 27 horas después del incidente —y probablemente después de ver que su historia se hacía viral— pero aún deben monitorizar la situación y confirmar el problema para revisar el problema: eso puede tardar días.

Actualización (17/12/2021): Platt publicaba hace unas horas un mensaje en el que explicaba que se había cancelado esa factura como caso "excepcional", y daba las gracias a todos quienes difundieron el mensaje. Además recordaba no cometer el error que él cometió con la configuración de su cuenta y activar esos límites de coste del sistema de Amazon.

Temas
Inicio