Los atacantes de ransomware apuestan por SaaS



El ransomware ha comenzado a apuntar a aplicaciones SaaS con gran cantidad de datos, código abierto y marcos world-wide-web y de aplicaciones.

Los ataques de ransomware han comenzado a apuntar más fuertemente a aplicaciones de software program, herramientas de código abierto y marcos de aplicaciones y website a medida que los atacantes buscan rutas más directas a los almacenes de datos más grandes e importantes de las organizaciones.

El panorama de amenazas de ransomware ha experimentado un crecimiento tremendo solo en los últimos años, informan los investigadores de RiskSense en un nuevo estudio, «Ransomware: a través de la lente de la gestión de amenazas y vulnerabilidades». Detectaron 223 vulnerabilidades asociadas con 125 familias de ransomware, un aumento masivo de sus hallazgos de 2019 de 57 CVE vinculados a 19 familias de ransomware.

Estos atacantes están diversificando sus objetivos, subiendo «en la pila» para apuntar a aplicaciones de program como servicio (SaaS) y tecnología remota. El ransomware ahora se está apoderando de la capa de aplicación, explica el CEO de RiskSense, Srinivas Mukkamala, un cambio que muestra cómo los atacantes se están adaptando a medida que las empresas trasladan una mayor parte de sus operaciones a la nube.

«Este año, lo que encontramos aún más interesante fue que no se trata (solo) de tocar sus aplicaciones SaaS, application de código abierto y bibliotecas de código abierto», dice sobre el ransomware. «No se detuvo allí. Comenzó a ir tras las tecnologías perimetrales, como sus VPN, servicios de acceso remoto y confianza cero».

Lo llama un «cambio muy rápido». Los atacantes tardaron varios años en comenzar a apuntar a la capa de aplicación sin embargo, solo en los últimos dos años los investigadores notaron que los tipos de exploits que usaban los atacantes y las capas a las que apuntaban «cambiaron drásticamente».

Las aplicaciones con gran densidad de datos son objetivos candentes. SaaS tuvo el recuento más alto de vulnerabilidades observadas como tendencia con exploits activos entre las familias de ransomware, investigadores señalar en su informe.

Los investigadores notaron 18 CVE vinculados al ransomware que se encuentran en WordPress, Apache Struts, Java, PHP, Drupal y ASP.web, todos los cuales son componentes importantes del espacio website y del marco de aplicaciones. Los proyectos de código abierto y relacionados también son objetivos: existen 19 CVE vinculados al ransomware en Jenkins, MySQL, OpenStack, TomCat, Elasticsearch, OpenShift, JBoss y Nomad. Todo lo que contenga una gran cantidad de datos o sea responsable del despliegue de datos se ha vuelto atractivo para los atacantes. Para Mukkamala, el cambio «tiene mucho sentido».

«Dondequiera que hubiera densidad de datos, comenzamos a ver desaparecer el ransomware: herramientas de CRM, herramientas de código abierto que se utilizan en sus canales de datos, servicios de respaldo, servicios de acceso remoto», agrega. «Llámalo el frenesí tecnológico del trabajo desde casa».

Cómo están entrando
Los atacantes también buscan vulnerabilidades más graves para alcanzar estos objetivos, es decir, aquellas que son capaces de ejecutar código remoto (RCE) o escalar privilegios (PE) cuando se explotan.

Entre 2018 y 2020, más del 25% de los CVE utilizados en ataques de ransomware se consideraron «peligrosos», lo que significa que eran capaces de RCE o PE y tenían exploits armados. Si bien la cantidad de vulnerabilidades armadas disminuyó en basic, la cantidad de fallas de RCE / PE aumentó. Los investigadores informan que más del 25% de los CVE publicados recientemente representan un mayor riesgo para las organizaciones debido a estas capacidades de RCE / PE.

«Ya no necesitan la intervención humana», dice Mukkamala sobre la preferencia por los defectos de RCE y PE. «Están buscando vulnerabilidades que se pueden explotar de forma remota, vulnerabilidades que les permitirán escalar privilegios. Esa es una tendencia muy interesante que hemos visto en el último año».

Casi todas (96%) las vulnerabilidades utilizadas en los ataques de ransomware se informaron en la Base de datos nacional de vulnerabilidades (NVD) de EE. UU. Antes de 2019. De estas, 120 se utilizaron activamente en ataques de ransomware que tuvieron una tendencia en los últimos 10 años, y 87 actualmente son tendencia (2018 -2020). Los mayores contribuyentes a los ataques de ransomware son las vulnerabilidades reveladas en 2017, 2018 y 2019.

«Lo que realmente vemos es el ransomware que utiliza con éxito las debilidades del computer software, las configuraciones incorrectas y los errores de codificación a los que la gente no presta atención», explica. Si bien algunos atacantes usan los días cero, estos son cada vez más raros a medida que las vulnerabilidades conocidas continúan teniendo éxito.

El árbol genealógico del ransomware crece
Los investigadores identificaron 125 familias de ransomware utilizando 223 CVE. Algunas de las familias más destacadas incluyen Crypwall, que utiliza 66 CVE, Locky (64), Cerber (62), Cryptesla (56), GandCrab (51), Cryptomix (50), Reveton (46) y Waltrix (45). De las familias de ransomware detectadas, 42 solo utilizan vulnerabilidades informadas en 2019 o antes, y la falla más antigua se informó en 2010.

El número de familias de ransomware ha seguido creciendo a medida que nuevos jugadores entran en escena, uniéndose a viejos grupos que continúan operando. Algunos, como Cobralocker y Lokibot, han estado funcionando desde 2012 y no muestran signos de retirarse, señalan los investigadores.

Mukkamala dice que estos grupos continúan siendo relevantes al agregar nuevas vulnerabilidades y exploits a sus arsenales. El tremendo crecimiento de las familias de ransomware muestra que hay muchos objetivos y muchas oportunidades para que las campañas de ransomware tengan éxito.

«Hay tanto disponible», agrega. «Todos tienen una parte de la acción … todavía hay mucho espacio para estos tipos, y la gente está pagando. ¿Por qué no paran?»

Aconseja a las organizaciones que se defiendan de las amenazas de ransomware en evolución al comprender primero su exposición. Saber dónde son vulnerables es un primer paso clave en la defensa del ransomware.

«Comprenda su exposición, ubíquela en el mapa de su superficie de ataque», explica. «¿Cuál es su superficie de ataque direccionable y cuál es su exposición a ella? Primero haga lo externo y luego pase rápidamente a lo interno. No overlook lo interno».

Con foundation en este conocimiento, los equipos de seguridad y TI tendrán una mejor idea de dónde deben abordar las áreas de exposición al ransomware.

Kelly Sheridan es la editora de personalized de Dim Looking through, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique