[18/09/2023] A medida que aumenta la conectividad con los recursos basados en la nube, los ciberdelincuentes utilizan credenciales válidas y comprometidas para acceder a los recursos de la empresa a un ritmo alarmante.
Esta es una de las principales conclusiones del informe IBM X-Force Cloud Threat Landscape Report, que también constata un aumento del 200% (unas 3.900 vulnerabilidades) en las Vulnerabilidades y Exposiciones Comunes (CVE, por sus siglas en inglés) orientadas a la nube en el último año.
"Más del 35% de los incidentes de seguridad en la nube se produjeron por el uso por parte de los atacantes de credenciales válidas comprometidas", escribió Chris Caridi, analista estratégico de ciberamenazas de IBM X-Force, en un blog sobre el informe. "Constituyendo casi el 90% de los activos a la venta en los mercados de la web oscura, la popularidad de las credenciales entre los ciberdelincuentes es evidente, con una media de 10 dólares por anuncio -o el equivalente a una docena de donuts".
Con el aumento del uso de usuarios de borde, sucursales y redes remotas que acceden a entornos multicloud, está claro que las organizaciones necesitan reforzar los privilegios de acceso que TI otorga a esos usuarios.
De hecho, X-Force encontró credenciales de texto sin formato ubicadas en puntos finales de usuario en el 33% de los compromisos que involucran entornos de nube.
"En particular, había una alta frecuencia de credenciales de cuentas de servicio almacenadas en los terminales, y muchas tenían demasiados privilegios. Los usuarios con privilegios excesivos pueden definirse como aquellos que tienen más permisos de los que necesitan para realizar su trabajo o tarea", señaló Chris Caridi, analista estratégico de ciberamenazas de IBM X-Force IRIS.
"Las credenciales comprometidas causaron más de un tercio de los incidentes relacionados con la nube que el equipo de X-Force observó, lo que sugiere que las empresas se enfrentan al reto de equilibrar las necesidades de acceso de los usuarios y los riesgos de seguridad", anotó el ejecutivo.
Una vez que tienen éxito, los ciberdelincuentes pueden aprovechar este acceso para facilitar su objetivo final, que puede implicar el despliegue de criptomineros, ransomware y otros tipos de malware, afirmó Caridi.
"Las organizaciones pueden beneficiarse de las protecciones de identidad impulsadas por IA que ayudan a identificar anomalías de comportamiento en profundidad y verificar la identidad de los usuarios", señala el informe.
Otros vectores de ataque comunes incluyen la explotación de aplicaciones de cara al público y enlaces de phishing/spear phishing, cada uno de los cuales representó aproximadamente el 14% de los incidentes a los que respondió el equipo de X-Force.
Las credenciales de Microsoft Outlook Cloud representaron más de cinco millones de menciones en mercados ilícitos, con diferencia el acceso más popular en venta, declaró Caridi.
La explotación de vulnerabilidades en aplicaciones de cara al público es un vector de acceso probado para los actores de amenazas tanto en entornos locales como en la nube, según el informe.
"Las aplicaciones en la nube suelen ser más difíciles de gestionar para las organizaciones debido al creciente número de aplicaciones y servicios utilizados en un entorno moderno de nube o nube híbrida", anotó el ejecutivo. "Si se implementan de forma inadecuada, es posible pasar por alto una aplicación obsoleta que se ejecuta en la nube, o peor aún, no ser conscientes de que la aplicación está incluso en uso".
Otras conclusiones clave del informe son las siguientes:
- El equipo de X-Force ha observado adversarios que instalan proxyware -una herramienta legítima de segmentación de red- en los sistemas de víctimas desprevenidas para revender el ancho de banda informático de las víctimas. La investigación sugiere que una campaña de proxyjacking podría reportar a los actores de amenazas unos 9,60 dólares en 24 horas por una dirección IP, y su despliegue por Log4j podría proporcionar 220 mil dólares de beneficio al mes. Además, el proxyjacking puede dar lugar a que las víctimas se vean afectadas por grandes cargos de los proveedores de servicios en la nube debido al aumento del tráfico web inesperado.
- Casi el 60% de las vulnerabilidades recientemente reveladas, si se explotan, podrían permitir a los atacantes obtener información, o bien obtener acceso o privilegios que permitan el movimiento lateral a través de la red. Desde proporcionar a los atacantes información sobre cómo están configurados los entornos, hasta la autenticación no autorizada que puede concederles permisos adicionales, es fundamental que las organizaciones sepan qué riesgos deben priorizar, especialmente cuando operan con recursos limitados.
- La herramienta administrativa remota Chaos (Trojan.Linux.CHAOSRAT) se despliega como herramienta de acceso remoto (RAT). Las funciones de Chaos RAT incluyen descarga, carga y eliminación de archivos de shell inverso; capturas de pantalla; recopilación de información del sistema operativo; apagado y reinicio del host; y apertura de URL. Este RAT muestra la sofisticación y evolución de los actores de amenazas basadas en la nube.
Los investigadores de X-Force hicieron una serie de sugerencias en respuesta a sus hallazgos. Por ejemplo, dijeron que los clientes deben utilizar tecnologías de seguridad de confianza cero para incluir la implementación de la autenticación multifactor (MFA) y el principio de mínimo privilegio.
"Esta estrategia es especialmente importante para las nubes privadas que pueden interactuar regularmente con otros activos locales", sostuvo Caridi. "Modernizar la gestión de identidades y accesos (IAM) para reducir la dependencia de las combinaciones de nombre de usuario y contraseña y combatir el robo de credenciales de los actores de amenazas".
También recomendaron el uso de capacidades basadas en IA para ayudar a escudriñar las identidades y comportamientos digitales, verificar su legitimidad y ofrecer una autenticación más inteligente.
El informe sobre el panorama de las amenazas se basa en datos recopilados de inteligencia de amenazas de X-Force, pruebas de penetración, compromisos de respuesta a incidentes, Red Hat Insights y datos proporcionados por el colaborador del informe Cybersixgill entre junio del 2022 y junio del 2023.
Basado en el artículo de Michael Cooney (Network World) y editado por CIO Perú