El último Informe sobre Amenazas en la Nube de la Unidad 42 de Palo Alto Networks reveló que el 66% de los depósitos de almacenamiento en la nube contienen datos confidenciales, lo que los hace vulnerables a ataques de ransomware. Según el Instituto SANS, estos ataques pueden ocurrir debido al uso indebido de los controles de seguridad y la configuración predeterminada del proveedor de la nube.

Brandon Evans, consultor de seguridad e instructor certificado de SANS, advierte: “En los últimos meses, he presenciado dos métodos distintos para llevar a cabo un ataque de ransomware empleando únicamente funciones legítimas de seguridad en la nube”. Halcyon descubrió una campaña que utilizaba uno de los mecanismos de cifrado nativos de Amazon S3, SSE-C, para cifrar cada uno de los buckets objetivo. Meses antes, el consultor de seguridad Chris Farris demostró cómo los atacantes podían ejecutar un ataque similar utilizando claves KMS con material de clave externa en AWS, mediante scripts generados por ChatGPT. “Este es un tema crítico tanto para los actores de amenazas como para los investigadores”, agrega Evans.

Para mitigar el ransomware en la nube, SANS recomienda a las organizaciones lo siguiente:

  • Comprender las capacidades y limitaciones de los controles de seguridad en la nube : Usar la nube no garantiza automáticamente la seguridad de los datos. “Los primeros servicios en la nube que la mayoría usa son plataformas de respaldo de archivos como OneDrive, Dropbox o iCloud”, explica Evans. “Aunque estos servicios suelen contar con recuperación de archivos por defecto, no ocurre lo mismo con Amazon S3, Azure Storage o Google Cloud Storage. Es esencial que los profesionales de seguridad conozcan cómo funcionan estos servicios y no asuma que la nube los protegerá”.
  • Restringir el uso de métodos de cifrado no compatibles : AWS S3 SSE-C, las claves externas de AWS KMS y técnicas similares pueden ser explotadas, ya que otorgan al atacante el control total sobre las claves. Para evitar esto, las organizaciones pueden aplicar políticas de Gestión de Identidad y Acceso (IAM) para definir métodos de cifrado específicos, como SSE-KMS, que emplea material de claves gestionadas por AWS.
  • Activar copias de seguridad, control de versiones y bloqueo de objetos : Estas mejoran la integridad y disponibilidad del almacenamiento en la nube, pero no están habilitadas por defecto en los principales proveedores. Configurarlas correctamente puede aumentar las posibilidades de recuperación de datos tras un ataque de ransomware.
  • Equilibrar seguridad y costos con políticas de ciclo de vida de los datos : Las funciones de seguridad tienen un costo. “Los proveedores de la nube no almacenarán versiones de datos ni copias de seguridad de forma gratuita, y las organizaciones no ofrecerán presupuestos ilimitados para proteger los datos”, señala Evans. Los tres principales proveedores permiten definir políticas de ciclo de vida que eliminan automáticamente objetos, versiones y copias de seguridad cuando ya no son necesarios. No obstante, los atacantes también pueden explotar estas políticas, como ocurrió en la campaña mencionada, donde se usaron para presionar a las víctimas a pagar rápidamente el rescate.

Fuente : thehackernews.com

You May Also Like

Nuevo Malware PondRAT Oculto en Paquetes Python Ataca a Desarrolladores de Software

HKN FEED

Los piratas informáticos explotan el complemento obsoleto de WordPress para la puerta trasera de miles de sitios de WordPress

wpadmin001

La aterradora evolución del ‘ransomware’: la amenaza emergente de la cuádruple extorsión

HKN FEED