Un nuevo estudio de Atlas VPN muestra que los ataques nativos a los principales proveedores de servicios en la nube (CSP) han disminuido durante los primeros cuatro meses de 2022.
Los exploits nativos de la nube se redujeron en un 25%, pasando de 71 exploits en los primeros cuatro meses de 2021 a 53 exploits en los primeros cuatro meses de este año, dijo la investigadora de Atlas Ruta Cizinauskaite a E-Commerce Times.
Aunque esas cifras pueden parecer pequeñas, son significativas, sostuvo Paolo Passeri, director de ciberinteligencia en Netskope, un proveedor de Security Service Edge en Santa Clara, California, y autor del blog Hackmageddon, de donde Atlas obtuvo los datos para su informe.
«Esto es sólo la llamada punta del iceberg, es decir, las campañas que han sido desenterradas y reveladas por los investigadores de seguridad», dijo a E-Commerce Times.
Uno de los proveedores de servicios de Internet más atacados durante el periodo fue Amazon Web Services (AWS), escribió Cizinauskaite en el informe publicado el 8 de junio. «[AWS] sufrió el mayor número de explotaciones en la nube entre los proveedores de servicios en la nube hasta abril de 2022», informó. «En total, experimentó 10 exploits nativos de la nube que representan casi una quinta parte (18,9%) de todos los eventos de este tipo en los primeros cuatro meses de este año».
Explicó que las amenazas nativas de la nube se refieren a eventos cibernéticos que explotan la nube en una o más etapas de la «cadena de muerte», un modelo de ciberseguridad que identifica los pasos típicos que toman los hackers durante un ciberataque.
Herramienta para hacer travesuras
Para los piratas informáticos, Amazon -que, con un tercio del mercado de CSP, es el principal- es un sólido campo de batalla en el que un atacante nunca puede quedarse sin objetivos, según declaró a E-Commerce Times Alon Gal, cofundador y director de tecnología de Hudson Rock, una empresa de inteligencia de amenazas de Tel Aviv (Israel).
AWS es también una herramienta flexible que puede utilizarse para múltiples fines, añadió Passeri. Por ejemplo, AWS puede utilizarse para alojar una carga útil maliciosa entregada durante un ataque, como centro de mando y control para el malware o para proporcionar la infraestructura para exfiltrar datos, explicó.
«A medida que la confianza en los proveedores de servicios en la nube ha aumentado, también lo ha hecho el atractivo para los ciberdelincuentes que se dirigen a servicios externos seleccionados con técnicas sofisticadas pero esperadas», observó Gal.
«Una vez que se desarrolla un libro de jugadas para una técnica», continuó, «por lo general resulta en una victoria rápida para ellos a través de múltiples empresas».
Objetivos tentadores
David Vincent, vicepresidente de estrategias de producto de Appsian Security, un proveedor de aplicaciones de seguridad ERP de Dallas, explicó que cada vez más organizaciones están trasladando sus sistemas empresariales críticos a la nube por ventajas obvias.
«Mientras estos sistemas empresariales contengan objetivos valiosos, como datos e información de identificación personal, o permitan transacciones financieras, como los pagos, a los que los delincuentes quieran acceder, estas soluciones en la nube seguirán siendo el objetivo de los actores maliciosos», declaró a E-Commerce Times.
Con el 60% de los datos corporativos almacenados en la nube, los CSP se han convertido en un objetivo para los hackers, añadió Passeri.
«Además», continuó, «una cuenta en la nube comprometida puede proporcionar a los atacantes múltiples herramientas para hacer sus ataques más evasivos». Por ejemplo, pueden proporcionar una plataforma para alojar contenido malicioso, como AWS, OneDrive o Google Drive. También pueden proporcionar un servicio de correo electrónico integrado, como Exchange o Gmail, para entregar contenido malicioso que evada las pasarelas de seguridad web.
Pescadores de Bytes
El informe señala que por detrás de AWS en el departamento de ataques se encuentran cinco servicios con cinco exploits cada uno: Microsoft OneDrive, Discord, Dropbox, Google Drive y GitHub.
Otros servicios tuvieron una porción más pequeña del pastel de los exploits: Pastebin (5,7%); Microsoft 365 y Azure (3,8%); y Adobe Creative Cloud, Blogger, Google Docs, Google Firebase, Google Forms, MediaFire y Microsoft Teams (1,9%).
La mayoría de los exploits (64,8%), según el informe, tenían como objetivo entregar una cepa de malware o una página de phishing.
Otros exploits utilizaban los CSP para establecer una infraestructura de mando y control para actividades malignas en otros lugares (18,5%) y para robar datos o lanzar otros ataques (16,7%).
«Los hackers que tienen éxito son como los pescadores, tienen diferentes señuelos en la caja de aparejos para atacar la debilidad de la víctima, y a menudo deben cambiar el señuelo o utilizar múltiples señuelos porque las víctimas se informan y no pican», explicó Vincent.
Explotación de la infraestructura de los CSP
Passeri explicó que el malware entregado a los CSP no está diseñado para comprometer sus sistemas, sino para utilizar su infraestructura, ya que es considerada de confianza por las víctimas y las organizaciones que la utilizan.
Además, continuó, los CSP ofrecen una plataforma flexible que es resistente y simplifica el alojamiento. Por ejemplo, no es necesario asignar un espacio IP y registrar un dominio.
Las ventajas para los hackers que utilizan la infraestructura de un CSP citadas por Passeri incluyen:
- La víctima lo considera de confianza porque ve un dominio legítimo y, en el caso de una página de phishing, una página web alojada en un servicio en la nube con un certificado legítimo.
- En algunos casos es considerado de confianza por las organizaciones porque muchas de ellas consideran que la infraestructura del CSP es de confianza, por lo que acaban poniendo en la lista blanca el tráfico correspondiente, lo que significa que no se aplican los controles de seguridad que normalmente se aplican al tráfico web tradicional.
- Es resistente porque si se retira el contenido malicioso, los atacantes pueden crear una nueva instancia instantáneamente.
- Las tecnologías de seguridad web tradicionales son ciegas al contexto, es decir, no reconocen si, por ejemplo, una conexión a AWS se dirige a una instancia corporativa legítima o a una instancia falsa controlada por los atacantes.
Robo de información
Una forma de malware distribuido a través de los CSP es el software de robo de información. «Los robos de información son una victoria rápida para los hackers, ya que son capaces de capturar todos los datos sensibles de un ordenador comprometido en cuestión de segundos mientras no dejan casi ningún rastro», dijo Gal.
«A continuación, pueden utilizar datos como las credenciales corporativas y las cookies capturadas por el ladrón para provocar importantes violaciones de datos y ataques de ransomware», añadió.
Aunque los hackers están dispuestos a utilizar la infraestructura de los CSP para fines nefastos, son menos proclives a atacar la propia infraestructura. «La mayoría de los ataques de los CSP son el resultado de una mala configuración de los recursos públicos de Internet, como los cubos de AWS S3», explicó Carmit Yadin, director general y fundador de DeviceTotal, una empresa de gestión de riesgos en Tel Aviv, Israel.
«Los actores maliciosos se dirigen a estas desconfiguraciones en lugar de buscar una vulnerabilidad en la infraestructura del CSP», dijo a E-Commerce Times. «Los CSP suelen mantener una infraestructura más segura de lo que sus clientes pueden gestionar solos».
CambioDigital Online | Fuente WEB