El informe Threat Horizons ha revelado que piratas informáticos malintencionados han ejecutado ciberataques a instancias en la nube, sin la debida protección.
Esto lo han efectuado para descargar software de minería de criptomonedas en el sistema, muchas veces dentro de los 22 segundos de haber sido comprometido.
El informe ha destacado las observaciones del Grupo de Análisis de Amenazas (TAG) de Google, Google Cloud Security and Trust Center, Google Cloud Threat Intelligence for Chronicle, Trust and Safety y otros equipos internos que colaboran para proteger de ciberataques a sus clientes y usuarios.
Bob Mechler, CISO de Google Cloud; y Seth Rosenblatt, editor de Seguridad de Google Cloud, han comentado que la compañía tiene una inmensa apertura al panorama global de amenazas de ciberseguridad, así como los medios para mitigar los riesgos que se derivan de esas amenazas.
“Con nuestro equipo de Acción de Ciberseguridad de Google estamos brindando más de nuestras capacidades de seguridad y servicios de asesoría a nuestros clientes para aumentar sus defensas”.
Mencionaron que el objetivo del informe es proporcionar inteligencia procesable, lo que permite a las organizaciones garantizar que sus entornos en la nube estén mejor protegidos contra los ciberataques en constante evolución.
Han adelantado que el equipo de Acción de Ciberseguridad de Google proporciona análisis del horizonte de amenazas, en este y en futuros informes de inteligencia, así como el seguimiento de tendencias y anuncios de alerta temprana sobre amenazas emergentes que requieran una acción inmediata.
Ciberataques en la nube
Los ejecutivos han precisado que los clientes de la nube continúan enfrentándose a una variedad de amenazas en las aplicaciones y la infraestructura, pero que muchos de esos ciberataques exitosos se deben a la falta de higiene e implementación de control básico.
“Nuestros equipos de seguridad interna han respondido al abuso de minería de criptomonedas, campañas de phishing y ransomware. Las organizaciones que ponen énfasis en la implementación segura, el monitoreo y el aseguramiento continuo tendrán más éxito en mitigar estas amenazas”.
Los investigadores de Google TAG han expuesto algunos ciberataques ocurridos como, por ejemplo, el de phishing (suplantación de identidad) de credenciales por parte de APT28 / Fancy Bear respaldado por el gobierno ruso el año pasado. Google lo ha bloqueado con éxito.
Otro grupo de amenazas respaldado por el gobierno de Corea del Norte, que se hizo pasar por reclutadores de Samsung para enviar archivos adjuntos maliciosos a los empleados de varias empresas de ciberseguridad antimalware de Corea del Sur, también ha sido detectado.
Además, se han identificado instalaciones de clientes infectadas con el ransomware Black Matter (el sucesor de la familia de ransomware DarkSide), de acuerdo a lo anunciado por Mechler y Rosenblatt.
Ambos han indicado que se ha visto el impacto de las instalaciones de clientes, mal aseguradas, en estos cuatro casos de actividad maliciosa o ciberataques.
“Para detenerlos, adoptamos un modelo de destino compartido con nuestros clientes y proporcionamos tendencias y lecciones aprendidas de incidentes recientes de ciberseguridad y llamadas cercanas”.
Acciones ante ciberataques
Desde Google Cloud han sugerido varias acciones concretas para los clientes, esto con el fin de ayudar a gestionar los riesgos de ciberataques a los que se enfrentan.
Y es que las instancias de GCP (Google Cloud Platform) vulnerables, los ataques de spear-phishing, el software de parcheo y el uso de repositorios de código público conllevan riesgos.
“Seguir estas recomendaciones puede reducir la posibilidad de pérdidas financieras inesperadas y resultados que puedan dañar su negocio”.
Se trata de auditar los proyectos publicados para asegurarse de que los certificados y las credenciales no se expongan accidentalmente a ciberataques.
Se ha exhortado a autenticar el código descargado con hash y utilizar múltiples capas de defensa para combatir ciberataques como robo de credenciales y cookies de autenticación.
“A pesar de la creciente atención del público a la ciberseguridad, las tácticas de spear-phishing y de ingeniería social suelen tener éxito, por lo que las medidas defensivas deben ser sólidas y estratificadas para proteger los recursos de la nube debido al acceso ubicuo”.
Además de la autenticación de dos factores, los administradores de la nube deberían fortalecer su entorno ante posibles ciberataques, a través del acceso sensible al contexto y soluciones como BeyondCorp Enterprise y Work Safer.