Por qué el ransomware pronto se dirigirá a la nube



A medida que las operaciones diarias de las empresas se vuelven más dependientes de los servicios en la nube, los autores de ransomware seguirán para maximizar las ganancias. La buena noticia: muchas de las mejores prácticas para servidores físicos también se aplican a la nube.

El ransomware es ahora una empresa de mil millones de dólares para los ciberdelincuentes y, como en cualquier industria, ha evolucionado con el tiempo para ser más eficiente y maximizar las ganancias. Los piratas informáticos han dejado de lanzar ataques de ransomware indiscriminadamente a granel y ahora se dirigen específicamente a objetivos de alto valor dentro de las empresas y las industrias con mayor probabilidad de pagar rescates más altos por el retorno seguro de sus archivos. A medida que los atacantes continúan refinando sus tácticas para atraer más dinero, creo que la próxima generación de ransomware se centrará en los activos basados ​​en la nube, incluidos los almacenes de archivos, los depósitos de Amazon S3 y los entornos virtuales.

Cuando el ransomware llegó por primera vez a la escena en 2013 con CryptoLocker, los atacantes atacaron a todos, desde CEOs hasta personas mayores. Incluso si solo un pequeño porcentaje de víctimas pagara el rescate relativamente pequeño, los atacantes enviaban un volumen tan alto de ransomware que aún ganarían dinero. Este enfoque amplio de «disparo de escopeta» pasó de moda en 2016 y 2017, ya que las tasas de éxito del ransomware disminuyeron debido a las mejoras en las protecciones antivirus. En cambio, los atacantes comenzaron a apuntar a industrias en las que las empresas no pueden funcionar con ningún tiempo de inactividad, principalmente sistemas de command de salud, gobierno estatal y area y command industrial. Los atacantes eligieron sus objetivos con más cuidado, dedicaron más tiempo y esfuerzo a entrar, y pidieron rescates más grandes. En resumen, adaptaron sus tácticas para maximizar las ganancias.

Mirando hacia el futuro, creo que el ransomware se dirigirá a la nube por tres razones. En primer lugar, la nube no ha sido tocada por el ransomware hasta ahora, por lo que es una nueva oportunidad de mercado para los atacantes.

En segundo lugar, los datos y servicios almacenados o ejecutados a través de la nube ahora son críticos para las operaciones diarias de muchas empresas. Hace cinco años, una empresa podría haber funcionado sin su despliegue en la nube a corto plazo, por lo que la presión para pagar un rescate no hubiera sido tan alta. Ahora, la mayoría de las empresas quedarán paralizadas si pierden el acceso a sus activos en la nube públicos o privados. Eso crea la misma presión intensa para restaurar los servicios rápidamente que hemos visto con hospitales, gobiernos municipales y plantas de energía en los últimos años.

En tercer lugar, la nube ofrece un punto de agregación atractivo que permite a los atacantes acceder a una población mucho mayor de víctimas. Cifrar un solo servidor net físico de Amazon podría bloquear los datos de docenas de empresas que han alquilado espacio en ese servidor. Como ejemplo, varios ataques en el primer y segundo trimestre de 2019 involucraron a malos actores secuestrando las herramientas de administración de múltiples proveedores de servicios administrados y usándolas como un punto de entrada estratégico desde el cual difundir el ransomware Sodinokibi y Gandcrab a sus listas de clientes. El mismo principio se aplica aquí: piratear una propiedad central basada en la nube permitió a los atacantes golpear a docenas o cientos de víctimas.

Seguridad en la nube
Para evitar ataques de ransomware en la nube, las empresas necesitan seguridad en la nube. Muchas personas de TI inteligentes creen que no necesitan preocuparse por proteger los datos en una implementación de infraestructura como servicio (IaaS) porque Microsoft o Amazon lo manejarán por ellos. Esto sólo es parcialmente cierto.

Si bien la mayoría de los proveedores de nube pública ofrecen controles de seguridad básicos, es posible que no incluyan todos los servicios de seguridad más recientes necesarios para evitar amenazas más evasivas. Por ejemplo, la mayoría de los proveedores de IaaS ofrecen alguna forma de protección antimalware básica, pero no las soluciones antimalware más sofisticadas basadas en el comportamiento o el aprendizaje automático disponibles en la actualidad. Investigación de WatchGuard descubrió que entre un tercio y la mitad de todos los ataques de malware utilizan técnicas de evasión u ofuscación para evitar las soluciones antivirus tradicionales basadas en firmas. Sin un antimalware más proactivo, el ransomware moderno podría superar los controles básicos de seguridad en la nube. Afortunadamente, puede obtener una versión virtual o en la nube de la mayoría de las soluciones de seguridad de red en el mercado actual, y sugiero usarlas para proteger sus entornos en la nube.

Finalmente, las configuraciones erróneas y los errores humanos cometidos al configurar los permisos y las políticas de la nube crean puntos débiles que los atacantes pueden explotar para entregar ransomware. Toda organización que use una nube pública o privada debe fortalecer estos entornos al asegurar adecuadamente las configuraciones de bucket de S3, administrar de cerca los permisos de archivos, requerir autenticación de múltiples factores para el acceso y más. Hay muchos «endurecimiento de la nube» guías eso puede ayudar con esto, y recomiendo que cualquier persona nueva en la nube los analyze.

A medida que los servicios en la nube se vuelven cada vez más críticos para las operaciones diarias de más empresas, los autores de ransomware seguirán para maximizar las ganancias. La buena noticia es que la nube se puede asegurar con muchas de las mismas mejores prácticas que se aplican a las redes físicas. Haga todo lo posible para mantener sus implementaciones en la nube seguras hoy. En el futuro, te alegrarás de haberlo hecho.

Contenido relacionado:

Corey Nachreiner contribuye regularmente a publicaciones de seguridad y habla internacionalmente en ferias comerciales líderes de la industria como RSA. Ha escrito miles de alertas de seguridad y artículos educativos y es el principal contribuyente al blog de WatchGuard Safety Heart, … Ver biografía completa

Más thoughts





Enlace a la noticia first