Llegamos a ustedes gracias a:



Noticias

Los ataques multivectoriales apuntan a las tecnologías alojadas en la nube

[28/01/2019] El impulso para mover todo a la nube en los últimos años ha generado una gran cantidad de implementaciones mal configuradas y expuestas de varios stacks de software. Esto ha atraído ataques sofisticados que destruyen datos o abusan de los recursos del servidor para la minería de criptomonedas.

En un nuevo informe publicado el viernes, los investigadores de seguridad de Securonix advierten sobre un aumento en la cantidad de ataques automatizados multivectoriales y multiplataforma contra la infraestructura de la nube en los últimos meses. Estos a menudo combinan la criptominería, el ransomware y el malware de botnet, todo en uno.

"En la mayoría de los casos, el foco de los ataques es instalar una carga útil de segunda etapa para la criptominería y/o acceso remoto, afirmaron los investigadores. "En otros casos, el malware se propaga e infecta los servicios expuestos, elimina datos e instala criptominería de segunda etapa y cargas útiles de ransomware.

Los atacantes a menudo intervienen explotando vulnerabilidades no parchadas o configuraciones inseguras en servicios como el almacén de estructura de datos Redis, el conjunto de herramientas de procesamiento de big data de Apache Hadoop o el middleware de mensajería Apache ActiveMQ. También lanzan ataques para descifrar contraseñas mediante fuerza bruta contra una gran cantidad de servicios que incluyen MySQL, MongoDB, Memcached, CouchDB, PostgreSQL, Oracle Database, ElasticSearch, RDP, VNC, Telnet, RSync, RLogin, FTP, LDAP y más.

Una de las herramientas de malware más utilizadas en ataques contra servicios alojados en la nube es el gusano XBash, que apareció por primera vez en mayo del 2018. Este malware se usa para infectar servidores de Windows y Linux y despliega cargas útiles adicionales según el sistema operativo que se esté ejecutando.

Por lo general, XBash se asocia con un grupo de ciberdelincuentes conocido en la industria de la seguridad como Iron. Sin embargo, otro grupo llamado Rocke también está usando una variante de XBash y recientemente ha estado en las noticias después de que comenzó a desactivar la seguridad de la nube y los agentes de monitoreo.

En algunos casos, después de que accedan a una base de datos o almacén de datos, el malware lo eliminará y dejará una nota de rescate. Este es un ataque destructivo que solo imita al ransomware, porque no se realiza una copia de seguridad de los datos y los atacantes no pueden ayudar a recuperarlo si se paga el rescate.

En otros incidentes, los atacantes también instalan una herramienta de software para extraer criptomonedas, siendo Monero su favorito. Dichos ataques se conocen como "cryptojacking porque los atacantes secuestran los recursos del servidor, lo que potencialmente lleva a facturas más grandes de los proveedores de la nube. "Hay muchos comportamientos comunes compartidos por los actores de las amenazas maliciosas que hemos estado observando, incluidos los vectores de infección mencionados anteriormente, los mecanismos de persistencia y algunas de las acciones sobre objetivos, incluida la carga de datos de cifrado, afirmaron los investigadores de Securonix.

Los atacantes cambian los servidores de comando y control con frecuencia y almacenan listas de ellos en sitios como Pastebin para que los implantes de malwarese descarguen. Los servidores reciben información sobre los servidores infectados del malware, como las direcciones IP y los nombres de dominio, y proporcionan al implante secuencias de comandos maliciosas adicionales para ejecutar o listas actualizadas de nombres de usuario y contraseñas para ataques de fuerza bruta.

En Linux, el malware crea entradas cronjob para la persistencia en varias ubicaciones, como /etc/crontab, /etc/cron.d/root, /etc/cron.d/apache o /var/spool/ cron/root, mientras que en Windows crea elementos de arranque maliciosos.

El informe de Securonix incluye una lista de indicadores de compromiso, incluidos los hashes de archivos para los diversos artefactos de malware vistos hasta el momento y las direcciones IP para los servidores de comando y control. También incluye reglas de firewall para ayudar a bloquear los ataques y algunos patrones de comportamiento que pueden usarse para crear reglas de detección y monitoreo.

Defensa de sistemas contra ataques multivectoriales de nube

Las empresas deben implementar políticas de contraseña seguras para todos los servicios que se ejecutan en sus instancias de nube, ya sea que dichos servicios se usen para la administración remota, para almacenar datos para aplicaciones o para intermediar con clientes de mensajería. También se necesita un sistema de administración de parches centralizado para los activos de nube, para que las vulnerabilidades críticas conocidas en varios componentes de software no queden sin parches.

Algunos de los servicios que suelen ser atacados, como Redis, no fueron diseñados para ser accesibles desde Internet, por lo que no tienen controles de acceso sólidos establecidos de forma predeterminada. Sin embargo, después de la multitud de ataques contra implementaciones expuestas en los últimos años, sus desarrolladores han publicado recomendaciones de seguridad que deben seguirse. Por ejemplo, el creador de Redis, Salvatore Sanfilippo, tiene una publicación en el blog con información útil sobre la seguridad de Redis.