A priori, nada sugería que el proveedor de la nube Cloudzy, con sede en Nueva York desde 2008, fuera en realidad una fachada para albergar actividades maliciosas. Un editor seguro, Halcyon llevó a cabo una investigación que muestra que Cloudzy ofreció servidores de comando y control (C2) a una empresa iraní como parte de una campaña de ransomware (incluidos Blackbasta y Royal). En su investigación, Halcyon identificó varios actores que han utilizado los servicios de Cloudzy (VPS), incluidos grupos APT con vínculos con los gobiernos de China, Irán, Corea del Norte y Rusia, entre otros.
Según Halcyon, el anfitrión no requiere ninguna verificación de identidad real por parte de sus clientes, sino simplemente una dirección de correo electrónico que funcione. Según los informes, la empresa ha prohibido el uso de sus servicios para cualquier actividad ilegal. Pero sólo cuando se trata de direcciones IPv4 registradas por el propio Cloudzy, pero no si se realiza en infraestructura alquilada a otros proveedores. En su investigación, donde estableció un vínculo entre la actividad ilegal y Cloudzy a través de estos netblocks (bloques de direcciones IP), Halcyon también examinó al personal de la empresa cuyas fotografías procedían de bibliotecas de imágenes. La investigación indica que la presencia de Cloudzy en Estados Unidos es ficticia, al menos en parte, y sólo existe en el papel. En realidad, el grupo emplea principalmente a personas de una empresa con sede en Teherán llamada abrNOC.
Un nuevo modelo para ataques de ransomware
El análisis observa que "entre el 40 y el 60 por ciento" de todos los servidores alojados por el proveedor parecen soportar posibles actividades maliciosas. Para Halcyon, este caso representa un método innovador para los ataques de ransomware. Esto se debe a que el host proporciona el dispositivo de comando y control a través de una fuente aparentemente legítima. Según Ryan Golden, director de marketing de Halcyon, “muchos proveedores no se tomarán el tiempo para disfrazar sus acciones de forma que parezcan legítimas. Están en nichos de mercado y quieren avanzar rápidamente”. Pero distingue “un segundo tipo de actor generalmente conocido como Bulletproof Hosting, que se esconde bajo el encantamiento de los “defensores de la libertad de expresión” y que llamamos “C2P” o Proveedores de Comando y Control”.
Según Ryan Golden, un C2P que se hace pasar por una empresa oficial tiene varias ventajas para los malos actores. En primer lugar, el simple hecho de aparecer como una entidad con sede en EE. UU. proporciona una apariencia de confianza a los usuarios para encubrir actividades maliciosas. "Como el tráfico asociado con su netblock se mezcla con usos potencialmente legales, es más fácil para los ciberdelincuentes esconderse a simple vista", dijo el funcionario. Halcyon recomienda a los usuarios verificar que sus sistemas no estén conectados a servidores de escritorio remotos relacionados con Cloudzy, de los cuales el informe proporciona una lista detallada.
Otras noticias que te pueden interesar