Los ciberdelincuentes compran credenciales de administrador para agudizar los ataques a las implementaciones en la nube


El análisis de encaje encuentra que SSH, SQL, Docker y Redis fueron los objetivos más comunes durante los últimos tres meses.

Tecnología de la información de computación en la nube segura y segura tecnología de red de Internet móvil

Imagen: Rick_Jo, Getty Photographs / iStockphoto

Las empresas ahora deberían considerar a los ciberdelincuentes como competidores comerciales, según Informe de amenazas en la nube 2021 de Lacework, volumen 2.

Los autores del informe recomiendan este cambio de pensamiento por dos razones:

  1. Los ciberdelincuentes trabajan arduamente para obtener ganancias directamente a través del rescate y la extorsión.
  2. También pretenden beneficiarse indirectamente mediante el robo de recursos.

Lacework Lab analizó la telemetría de sus clientes y otros datos para identificar amenazas de seguridad crecientes y crecientes para las implementaciones en la nube. Una de las tendencias más interesantes de los últimos meses, según el informe, es la creciente demanda de acceso a cuentas en la nube. Esto se muestra en la venta de credenciales de administrador a cuentas en la nube de Initial Entry Brokers. El análisis también encontró aumentos continuos en el escaneo y el sondeo de depósitos de almacenamiento, bases de datos, sistemas de orquestación e inicios de sesión interactivos.

VER: Cómo el rápido cambio a la nube ha generado más riesgos de seguridad (TechRepublic)

Lacework Labs rastrea la actividad de amenazas en una metodología basada en las técnicas MITRE ATT & CK. El informe identificó estas tácticas, técnicas y procedimientos de atacantes notables de los últimos meses:

  1. Ejecución del usuario: imagen maliciosa (T1204.003)
  2. Persistencia: imagen interna del implante (T1525)
  3. Ejecución: Deploy Container (T1610)

Los analistas de encaje también han estado rastreando TeamTNT a lo largo de este año. Los investigadores descubrieron a principios de este año que Imágenes de Docker que contienen malware de TeamTNT estaban alojados en repositorios públicos de Docker como resultado de adquisiciones de cuentas maliciosas. Los analistas encontraron varios casos en los que los ciberdelincuentes utilizaron secretos de Docker Hub expuestos en GitHub para utilizarlos para organizar las imágenes maliciosas.

Sondeo de servicios en la nube

El informe analizó el tráfico del 1 de mayo al 1 de julio de 2021 para identificar las amenazas en la nube. El análisis mostró que SSH, SQL, Docker y Redis fueron las aplicaciones en la nube dirigidas con mayor frecuencia durante los últimos tres meses. Los investigadores de seguridad se centraron en los registros de seguimiento de la nube en entornos de AWS y en la actividad de S3 en certain. Descubrieron que Tor parecía usarse con más frecuencia para el reconocimiento de AWS. La mayor parte de la actividad provino de estas fuentes:

  • 60729: «Zwiebelfreunde e.V.»
  • 208294: Markus Koch »
  • 4224: «CALYX-AS»
  • 208323: «Fundación para la privacidad aplicada»
  • 62744: «QUINTEX»
  • 43350: «NForce Enjoyment B.V.»

Las tres principales API de S3 incluyen GetBucketVersioning, GetBuckAcl y GetBucketLocation.

Los analistas de Lacework recomiendan seguir estos pasos para proteger el entorno de la nube:

  • Asegúrese de que los sockets de Docker no estén expuestos públicamente y de que existan reglas de firewall, grupos de seguridad y otros controles de purple adecuados para evitar el acceso no autorizado a los servicios de crimson.
  • Asegúrese de que las imágenes foundation provengan de fuentes ascendentes confiables y estén auditadas de manera adecuada.
  • Implemente la autenticación SSH basada en claves.
  • Asegúrese de que las políticas de acceso establecidas a través de la consola en los buckets de S3 no sean anuladas por una herramienta de automatización.
  • Realice auditorías frecuentes de las políticas de S3 y la automatización en torno a la creación de cubos de S3 para garantizar que los datos permanezcan privados.
  • Habilite el modo protegido en instancias de Redis para evitar la exposición a Online.

Ver también



Enlace a la noticia initial