Cada vez más organizaciones apuestan por trasladar sus activos a la nube. Ante el auge que están experimentando estos entornos, los ciberdelincuentes ponen sus miras en ellos para llevar a cabo sus ataques. ¿A qué amenazas nos enfrentamos en la nube y cómo protegerse de ellas?

Paralelamente al buen momento por el que atraviesa la nube, los riesgos que amenazan estos entornos van en aumento. En los entornos en los que se trabaja en local, los principales vectores de infección acostumbran a estar relacionados con acciones que realiza el usuario, sean a propósito o no. Por ejemplo, descargar archivos maliciosos que están adjuntos a correos electrónicos, pinchar en enlaces maliciosos, o realizar descargas desde sitios de dudosa confianza.

En los entornos cloud, la dinámica es diferente, ya que los atacantes buscan un tipo diferente de comportamiento del usuario que lleve a una falta de protección. Por ejemplo, disponer de activos sin mantenimiento o cuentas configuradas dejando las puertas abiertas a los ciberdelincuentes.

Los vectores de ataque más comunes en la nube se basan en encontrar activos con autenticación fácil, como contraseñas débiles, fáciles de descifrar, vulnerabilidades explotables, o una exposición de riesgo en Internet.

Según la CISA, la agencia de ciberseguridad y seguridad de la infraestructura estadounidense, los vectores de infección más utilizados en 2021 fueron el robo de credenciales RDP (Remote Desktop Protocol), los ataques de fuerza bruta y la explotación de vulnerabilidades.

Sin embargo, podemos ver cómo el malware sigue avanzando cada vez más hacia la nube y se puede encontrar en diferentes formas.

Software malicioso en Linux

Muchas soluciones PaaS (Plataforma como Servicio) que ofrecen los proveedores cloud se ejecutan en distribuciones de Linux de forma predeterminada. Esto hace que cualquier tipo de malware en Linux sea relevante para la mayoría de los activos en la nube. Sin embargo, algunas amenazas buscan específicamente máquinas Linux vulnerables o disponibles en la nube.

Teniendo en cuenta que muchas organizaciones eligen un modelo híbrido de uso de la nube, los atacantes también están buscando maximizar su impacto en estas redes. Así es como muchas familias de malware han desarrollado capacidades adicionales para Linux y moverse lateralmente en entornos de nube híbrida.

Esto está llevando a que proliferen algunos de los tipos de malware más comunes que pueden encontrarse en la nube.

  • TrickBot. Aunque su actividad se ha reducido en los últimos meses, este troyano modular es conocido por su gran prevalencia. Su principal vector de infección es a través de archivos maliciosos adjuntos al correo electrónico.

El año pasado, TrickBot contaba con un nuevo módulo que podía infectar no solo máquinas con Windows, sino también máquinas con Linux, lo que le permitía un mejor movimiento lateral en un entorno híbrido.

  • Mirai. Esta botnet es el antepasado de muchas de las amenazas dirigidas a servicios Linux vulnerables. Desde que se publicó el código fuente de Mirai, muchos atacantes han creado mutaciones de este malware, afectando a millones de activos.

malware en la nube linux ciberseguridad cloud noticia bit life mediaTodos los programas maliciosos similares a Mirai inician sus ataques buscando máquinas vulnerables conectadas a Internet. Un dispositivo vulnerable puede tener debilidades explotables en los protocolos, el sistema operativo o los servicios, o simplemente un activo con una contraseña débil/filtrada.

La mayoría de los códigos de malware DDoS Linux son mutaciones de Mirai, como SORA.

Ransomware en la nube

El ransomware en la nube ya es algo muy común. Especialmente durante el pasado 2021 se experimentó un significativo aumento de este tipo de ciberataques, muchos de los cuales estaban dirigidos a activos en la nube.

En los últimos años, se han conocido muchas grandes infecciones de ransomware en infraestructuras cloud. Uno de los más recientes y sonados ha sido el ciberataque a Colonial Pipeline que interrumpió el suministro de combustible en Estados Unidos tras la encriptación de los datos de la compañía por un ataque de ransomware.

Otro grupo de ransomware conocido, que se cree que está conectado a DarkSide, es REvil. Hasta el arresto de los miembros del grupo en enero pasado, era el grupo de ransomware más prolífico. Este grupo estuvo involucrado en muchos ataques conocidos, como el de la cadena de suministro de Apple, e incluso en la extorsión de celebridades estadounidenses.

Ahora, una de las amenazas más relevantes en este campo es LockBit. Se dice que este RaaS (Ransomware as a Service) tiene el cifrado más rápido del mercado. Su vector de acceso inicial es a través de ataques de fuerza bruta y mensajes de phishing de ingeniería social.

La mayor víctima de este ransomware hasta ahora es Accenture. En agosto de 2021, un atacante supuestamente solicitó 50 millones de dólares por 6 TB de datos.

Malware de criptominería

Una de las características más fundamentales de la nube es la capacidad de utilizar los recursos informáticos (CPU y GPU) bajo demanda. Según Google, el 86% de los activos infectados que han analizado estaban infectados con un criptominero.

Los criptomineros abusan de los ciclos de CPU de los componentes de la nube que exigen CPU, como contenedores y orquestadores, pero también de máquinas virtuales. El malware contenedor que tiene como objetivo instalar criptomineros adquiere cada vez mayor relevancia.

Por ejemplo, Kinsing es un malware con capacidades de rootkit que ha estado activo durante más de dos años. El malware inicia su ataque buscando contenedores Docker abiertos, orquestadores de Kubernetes y otros contenedores. Luego continúa con un ataque de fuerza bruta. Y, además, el malware se actualiza regularmente para seguir persistiendo con capacidades de ocultación.

malware en la nube mineria de datos ciberseguridad cloud noticia bit life media

Otro ejemplo de este tipo de malware es Siloscape, que se dirige a los clusters de Kubernetes mediante la explotación de contenedores públicos vulnerables de Windows. El malware crea una puerta trasera para la criptominería, pero también es capaz de realizar acciones mucho más amplias, como el robo de información.

Malware de base de datos

Hay muchas formas de implementar código malicioso en una base de datos. Todo lo que necesita un atacante es un RDS, un servicio de bases de datos relacionales, con una brecha de seguridad, como una vulnerabilidad o una configuración incorrecta.

Los atacantes escanean Internet constantemente en busca de bases de datos. Cuando se encuentra una, su ataque puede producirse en cuestión de horas.

APTs

Los actores de APTs, amenazas avanzadas persistentes, también participan de los ataques a la nube. Un claro ejemplo es Team TNT, el primer grupo APT nativo en la nube. Este grupo es conocido por explotar los activos de la nube y moverse lateralmente en las cuentas.

Lo hacen para la recopilación de credenciales de AWS, la filtración de datos y la implementación de criptomineros inteligentes.

Cómo estar seguro en la nube

Todas estas amenazas ponen de relevancia que los activos en la nube pueden estar expuestos a una infección de malware. Los puntos débiles que buscan los atacantes en el mundo de la nube son contraseñas o autenticación débiles y vulnerabilidades explotables.

A través de los diferentes métodos empleados para llevar ciberataques en este entorno, los atacantes pueden conseguir sus objetivos en tiempos cada vez más rápidos.

Para evitar el malware en un entorno cloud, se deben seguir tres principios básicos. El primero es la exposición a Internet, ya que el malware en la nube procede principalmente de atacantes externos. Los activos expuestos en Internet son el punto de entrada.

Exponer en Internet solo los activos imprescindibles y mantenerlos fuera del acceso público será de gran ayuda para evitar su ataque.

En segundo lugar, es fundamental asegurarse de que los activos en la nube están debidamente protegidos y parcheados. Los actores maliciosos escanean constantemente activos de Internet y las contraseñas débiles o las vulnerabilidades facilitarán mucho su acceso.

Y, por último, pero no menos importante, es de gran ayuda adherirse  al principio de privilegio mínimo, asegurando cada rol y activo.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre