Ciberataques a instancias de nube, delincuentes descargan software de criptominería

Foto: GCP

El primer número del informe Threat Horizons ha revelado que piratas informáticos malintencionados han ejecutado ciberataques a instancias en la nube (sin la debida protección) para descargar software de minería de criptomonedas en el sistema, muchas veces dentro de los 22 segundos de haber sido comprometido.

El informe ha destacado las observaciones del Grupo de Análisis de Amenazas (TAG) de Google, Google Cloud Security and Trust Center, Google Cloud Threat Intelligence for Chronicle, Trust and Safety y otros equipos internos que colaboran para proteger a sus clientes y usuarios.

Bob Mechler, CISO de Google Cloud; y Seth Rosenblatt, editor de Seguridad de Google Cloud, han comentado que la compañía tiene una inmensa apertura al panorama global de amenazas de ciberseguridad, así como los medios para mitigar los riesgos que se derivan de esas amenazas.

“Con nuestro equipo de Acción de Ciberseguridad de Google recientemente lanzado, estamos brindando más de nuestras capacidades de seguridad y servicios de asesoría a nuestros clientes para aumentar sus defensas”.

Mencionaron que el objetivo del informe es proporcionar inteligencia procesable que permita a las organizaciones garantizar que sus entornos en la nube estén mejor protegidos contra las amenazas en constante evolución.

Han adelantado que el equipo de Acción de Ciberseguridad de Google proporcionará análisis del horizonte de amenazas en este y en futuros informes de inteligencia, así como el seguimiento de tendencias y anuncios de alerta temprana sobre amenazas emergentes que requieran una acción inmediata.

Ciberseguridad en la nube

Los ejecutivos han precisado que los clientes de la nube continúan enfrentándose a una variedad de amenazas en las aplicaciones y la infraestructura, pero que muchos de esos ataques exitosos se deben a la falta de higiene e implementación de control básico.

“Nuestros equipos de seguridad interna han respondido al abuso de minería de criptomonedas, campañas de phishing y ransomware… Las organizaciones que ponen énfasis en la implementación segura, el monitoreo y el aseguramiento continuo tendrán más éxito en mitigar estas amenazas”.

Los investigadores de Google TAG han expuesto un ataque de phishing (suplantación de identidad) de credenciales por parte de APT28 / Fancy Bear respaldado por el gobierno ruso a fines de septiembre. Google lo bloqueó con éxito.

Otro grupo de amenazas respaldado por el gobierno de Corea del Norte, que se hizo pasar por reclutadores de Samsung para enviar archivos adjuntos maliciosos a los empleados de varias empresas de ciberseguridad antimalware de Corea del Sur, también ha sido detectado.

Además, se han identificado instalaciones de clientes infectadas con el ransomware Black Matter (el sucesor de la familia de ransomware DarkSide), de acuerdo a lo anunciado por Mechler y Rosenblatt.

Ambos han indicado que se ha visto el impacto de las instalaciones de clientes mal aseguradas en estos cuatro casos de actividad maliciosa. “Para detenerlos, adoptamos un modelo de destino compartido con nuestros clientes y proporcionamos tendencias y lecciones aprendidas de incidentes recientes de ciberseguridad y llamadas cercanas”.

Acciones de ciberseguridad

Desde Google Cloud han sugerido varias acciones concretas para los clientes con el fin de ayudar a gestionar los riesgos a los que se enfrentan, ya que las instancias de GCP (Google Cloud Platform) vulnerables, los ataques de spear-phishing, el software de parcheo y el uso de repositorios de código público conllevan riesgos.

“Seguir estas recomendaciones puede reducir la posibilidad de pérdidas financieras inesperadas y resultados que puedan dañar su negocio”.

Se trata de auditar los proyectos publicados para asegurarse de que los certificados y las credenciales no se expongan accidentalmente, autenticar el código descargado con hash y utilizar múltiples capas de defensa para combatir el robo de credenciales y cookies de autenticación.

“A pesar de la creciente atención del público a la ciberseguridad, las tácticas de spear-phishing y de ingeniería social suelen tener éxito, por lo que las medidas defensivas deben ser sólidas y estratificadas para proteger los recursos de la nube debido al acceso ubicuo”.

Además de la autenticación de dos factores, los administradores de la nube deberían fortalecer su entorno a través del acceso sensible al contexto y soluciones como BeyondCorp Enterprise y Work Safer.