Diversos informes alertan que se está intensificando una campaña contra centros de datos para el robo de credenciales de acceso de algunas de las empresas más grandes del mundo. Amazon, Apple, Goldman Sachs y Microsoft, son algunas de ellas.
Durante el último año y medio se han observado ciberataques dirigidos a múltiples centros de datos en varias regiones del mundo. Esto ha provocado la filtración de información de algunas de las empresas más grandes a nivel mundial y la publicación de credenciales de acceso en la ‘dark web’.
Así lo apunta la firma de ciberseguridad Resecurity, que prevé que, en los próximos meses aumente la actividad maliciosa relacionada con los centros de datos y sus clientes. Según un reciente informe de Bloomberg, estos ataques han permitido a los ciberdelincuentes robar credenciales de grandes corporaciones como Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft y Walmart.
En septiembre de 2021, Resecurity ya lanzó una primera advertencia sobre la existencia de una campaña de ciberataques contra centros de datos.
El objetivo no es otro que el de robar datos confidenciales de empresas y organizaciones gubernamentales que son clientes de estos datacenters.
Información expuesta en la ‘dark web’
Recientemente se ha comprobado que las credenciales de organizaciones robadas en distintos ciberataques a centros de datos se habían publicado en el foro clandestino Breached.to. Además, también han compartido algunos fragmentos de esa caché de datos en grupos de Telegram.
Resecurity ha identificado a actores maliciosos en la ‘dark web’, potencialmente originarios de Asia, que durante los ciberataques consiguieron acceder a los registros de los clientes y hacerse con bases de datos de diversas organizaciones.
En al menos uno de los casos, el acceso inicial se obtuvo a través de un servicio de asistencia técnica malicioso o un módulo de gestión de tickets integrado con otras aplicaciones y sistemas, lo que permitió al atacante realizar un movimiento lateral.
En septiembre de 2021, cuando los investigadores de Resecurity observaron la campaña por primera vez, el actor de amenazas involucrado en ese episodio pudo recopilar varios registros de más de 2.000 clientes de uno de los centros de datos. Estos incluían credenciales, correo electrónico, teléfono móvil y datos de tarjetas de identificación.
En la campaña, en 2022, el actor de amenazas pudo filtrar una base de datos de clientes que supuestamente contenía 1.210 registros de una organización con sede en Singapur.
El tercer episodio de la campaña maliciosa, detectado el pasado mes de enero, involucró a una organización en Estados Unidos que era cliente de uno de los centros de datos previamente afectados.
Los datos robados en esta última campaña se pusieron a la venta en la ‘dark web’.
El impacto de los robos en centros de datos
De acuerdo con los expertos de Resecurity, es probable que este actor de amenazas se haya dado cuenta de que se podía detectar su actividad y que el valor de los datos puede disminuir con el tiempo.
Esta sería una de las razones por las que habría optado por buscar una monetización inmediata. No obstante, estas tácticas a menudo se utilizan por parte de estados-nación para enmascarar su actividad.
Desde Bloomberg han identificado a GDS Holdings, con sede en Shanghái, y a ST Telemedia Global Data Centers, con sede en Singapur, como las organizaciones víctimas. Ambas firmas, con sedes en prácticamente todo el mundo, han reconocido haber sufrido incidentes de seguridad, pero destacan que no ha habido riesgo para sus clientes.
Por el momento no se ha identificado a ningún grupo como responsable de los ataques, si bien se baraja la posibilidad de que se trate de distintos actores maliciosos.
