Llegamos a ustedes gracias a:



Noticias

Aumentan los ataques de criptojacking y DDoS

En sistemas de nube basados en contenedores

[29/09/2022] El criptojacking es la forma de ataque más común contra los sistemas basados en contenedores que se ejecutan en la nube, mientras que las motivaciones geopolíticas -principalmente relacionadas con la guerra de Rusia contra Ucrania- han contribuido a cuadruplicar los ataques DDoS (de denegación de servicio distribuido) este año, según un nuevo informe de la empresa de ciberseguridad Sysdig.

A medida que los contenedores se utilizan cada vez más en los sistemas basados en la nube, también se han convertido en un importante vector de ataque para los ataques a la cadena de suministro, según el informe 2022 Sysdig Cloud Native Threat Report, publicado el miércoles, y basado en las conclusiones del equipo de investigación de amenazas de Sysdig (Sysdig TRT).

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

"Debido a que las imágenes de contenedores están diseñadas para ser portátiles, es muy fácil para un desarrollador compartir un contenedor con otro individuo", según el informe. "Existen múltiples proyectos de código abierto que proporcionan el código fuente para desplegar un registro de contenedores o registros de contenedores de libre acceso para que los desarrolladores compartan imágenes de contenedores".

Los repositorios públicos de contenedores contienen imágenes maliciosas

Los repositorios públicos de imágenes de contenedores, como Docker Hub, se están llenando cada vez más de imágenes maliciosas que contienen criptomineros, puertas traseras y otros vectores de amenaza disfrazados de aplicaciones de software legítimas, señaló Sysdig, que se especializa en productos de seguridad de contenedores y de la nube.

El criptojacking -el uso no autorizado de la infraestructura informática para minar criptomonedas- sigue siendo la principal motivación de los atacantes oportunistas, que explotan vulnerabilidades críticas y configuraciones débiles del sistema, según el informe.

"En el análisis de Docker Hub el total de imágenes maliciosas únicas en el conjunto de datos reportados fue de 1.777. De ellas, 608, es decir, el 34%, contenían mineros", afirmó Michael Clark, director de investigación de amenazas de Sysdig.

La alta prevalencia de la actividad de cryptojacking se atribuye al bajo riesgo y la alta recompensa para los autores. Los secuestradores de criptomonedas obtienen un dólar de beneficio por cada 53 dólares en recursos informáticos que se facturan a la víctima, según Sysdig. La empresa basó este cálculo en un análisis de las actividades realizadas por un actor de amenazas llamado TeamTNT, y el coste de la criptominería.

Utilizando una red global de honeypots, Sysdig TRT fue capaz de rastrear la actividad de criptominería de TeamTNT. El equipo de investigación de Sysdig atribuyó a TeamTNT un valor de más de 8.100 dólares en criptodivisas robadas, que fueron minadas en una infraestructura de nube robada, lo que costó a las víctimas más de 430 mil dólares.

"Esto se calcula calculando cuánto cuesta minar una criptomoneda en una instancia de AWS y comparándolo con el valor en dólares de esa moneda", indicó Clark.

"El costo para el atacante es efectivamente cero, mientras que la víctima tiene que pagar la costosa factura de la infraestructura de la nube", indicó Clark.

El conflicto entre Rusia y Ucrania contribuye a los ataques DDoS

El informe de Sysdig también señala que se ha producido un aumento de los ataques DDoS que utilizan contenedores desde el inicio de la invasión rusa de Ucrania.

"Los objetivos de interrumpir la infraestructura de TI y los servicios públicos han llevado a cuadruplicar los ataques DDoS entre el 4T21 y el 1T22", según el informe. "Más de 150 mil voluntarios se han sumado a las campañas DDoS antirrusas utilizando imágenes de contenedores de Docker Hub. Los actores de la amenaza golpean a cualquiera que perciban que simpatiza con su oponente, y cualquier infraestructura no segura es el objetivo para aprovechar la escala de los ataques".

Por otra parte, un grupo hacktivista prorruso, llamado Killnet, lanzó varios ataques DDoS contra países de la OTAN. Estos incluyen, entre otros, sitios web de Italia, Polonia, Estonia, Ucrania y Estados Unidos.

"Debido a que muchos sitios están ahora alojados en la nube, las protecciones DDoS son más comunes, pero aún no son omnipresentes y a veces pueden ser eludidas por adversarios hábiles", señaló Sysdig.  "Los contenedores precargados con software DDoS facilitan que los líderes hacktivistas habiliten rápidamente a sus voluntarios".

Prevenir los ataques a los sistemas en la nube

Tener una defensa en capas es la mejor manera de prevenir estos ataques en los sistemas basados en la nube. según Sysdig. "Los equipos de seguridad en la nube deben implementar controles preventivos como la gestión de vulnerabilidades y permisos para dificultar que los atacantes comprometan su infraestructura", sostuvo Clark. 

Además, deberían utilizarse técnicas como la detección de criptomineros basada en el aprendizaje automático para alertar a los equipos de seguridad y bloquear cualquier ataque que lo consiga, añade.

En el caso de los ataques de criptominería, los controles preventivos a través de la tecnología IAM (gestión de identidades y accesos) y CIEM (gestor de derechos de la infraestructura en la nube) hacen muy difícil que un atacante aprovisione instancias en nombre de un usuario legítimo, afirma Clark.