En los últimos meses, los ciberdelincuentes están enfocando sus ataques a los datos que las empresas tienen almacenados en la nube. A medida que esa migración es mayor, los conocidos como ataques de ransomcloud se suceden con más asiduidad, tratando de comprometer los datos críticos de las organizaciones. En este sentido, CyberArk aborda las principales cuestiones a tener en cuenta acerca de los ataques de ransomcloud.
Índice de temas
1. ¿Qué es ransomcloud y cómo funcionan los ataques?
Ransomcloud es un ataque de ransomware que se dirige a los clientes de servicios en la nube, no al proveedor de servicios en la nube en sí. El cifrado debe comenzar en la nube y no en una máquina local, es decir, el atacante debe tener credenciales de usuario válidas para una cuenta en la nube y tener acceso a todos los archivos y recursos permitidos. Después, los piratas informáticos pueden utilizar ataques de phishing, una fuga de datos conocida, una configuración incorrecta de la nube, malware, ataques DDoS o cualquier otra forma de obtener el control de la cuenta de la nube del usuario. Una vez dentro, el hacker puede implementar ransomware que encripta y roba la información de la víctima.
2. ¿Quién está en mayor riesgo de ransomware dirigido a la nube y cuáles son las consecuencias?
Las empresas que disponen cuentas en la nube, con acceso a archivos y recursos por parte de múltiples usuarios son las que corren el mayor riesgo. Esto se debe a que el principal vector de ataque para este tipo de agresiones es el phishing. Otros grupos en riesgo son aquellos que reutilizan sus contraseñas. Las consecuencias de llevar a cabo esta acción pueden incluir una doble extorsión, es decir, perder todos sus archivos y ser objeto de extorsión para evitar que el atacante filtre su información privada.
3. ¿De qué manera las “bandas cibernéticas” están desarrollando e implementando un mayor número de herramientas y variedades de malware dirigido a la nube?
Hay cuatro métodos comunes que utilizan los atacantes para apuntar a la nube. En primer lugar, cabe mencionar que, a menudo, explotan la sincronización de máquinas con la nube, por lo que, al cifrar los datos localmente y luego sincronizar el dispositivo con la nube, los datos almacenados en él también se cifran.
Las campañas de phishing ordinarias son otro de los métodos utilizados por los atacantes. Mediante el uso de técnicas de phishing, los ciberdelincuentes pueden obtener las credenciales de sus objetivos y usarlas para acceder a la nube. Relacionado con esto, otro método de ataque es apuntar a los propios proveedores de la nube. Hacerlo con éxito puede permitir que los atacantes accedan a múltiples víctimas que utilizan la nube. Finalmente, los atacantes también pueden aprovechar la tecnología de nube configurada de forma insegura para obtener acceso.
Además de ransomcloud, los ciberdelincuentes usan criptomineros ordinarios que se ejecutan en entornos de nube para aprovechar el poder de la computación en la nube. Por ejemplo, los piratas informáticos detrás de Maze Ransomware han notado que las copias de seguridad en la nube facilitan la búsqueda de datos confidenciales, ya que, generalmente, se realiza una copia de seguridad. También aprovechan que en la nube resulta menos probable que se activen los controles de prevención de pérdida de datos (DLP) para extraer los datos y realizar ataques de doble extorsión.
4. ¿Cómo pueden evitar las empresas una amenaza de ransomware en la nube y qué medidas pueden tomar?
Lo más importante es comprender que existe una responsabilidad compartida por la seguridad de los datos entre las organizaciones y el proveedor de la nube. Para evitar la amenaza, lo primero que deben hacer las empresas es pedirle a su proveedor que planifique estrategias sobre cómo recuperarse de un ataque de ransomware y otro tipo de interrupciones. También deben considerar qué medidas de seguridad tienen implementadas para protegerse contra ataques de esta naturaleza, usar autenticación de dobles factores y otorgar permisos para los recursos de la nube solo a las cuentas de usuario que los necesitan, es decir, el principio de privilegio mínimo.
También es importante que las empresas utilicen herramientas antiphishing y se aseguren de que los empleados reciban formación sobre seguridad. Asimismo, se debe establecer que los empleados utilicen una contraseña complicada que incluya letras, números y caracteres especiales, y se debe aclarar que las contraseñas no deben reutilizarse en todos los servicios. Las empresas también deben exigir cambios de contraseña cada cierto tiempo. Y, por último, destacar que las copias de seguridad son vitales. Las organizaciones deben almacenar su información en varias ubicaciones y realizar pruebas de restauración para evaluar su resiliencia.