A medida que crece la conectividad a los recursos basados ​​en la nube, los ciberdelincuentes utilizan credenciales válidas, pero comprometidas, para acceder a los recursos corporativos a un ritmo alarmante. Ésta es una de las principales conclusiones del IBM Informe sobre el panorama de amenazas en la nube de X-Force, que también informa un aumento del 200 % (aproximadamente 3900 vulnerabilidades) en vulnerabilidades y exposiciones comunes (CVE) durante el año pasado. "Más del 35% de los incidentes de seguridad en la nube son el resultado de atacantes que utilizan credenciales válidas y comprometidas", escribió Chris Caridi, analista estratégico de amenazas cibernéticas de IBM X-Force, en una publicación de blog. al informe. “Las credenciales representan casi el 90% de los activos vendidos en los mercados de la web oscura, a un precio medio de 10 dólares por anuncio, el equivalente a una docena de donuts, lo que demuestra su popularidad entre los ciberdelincuentes".

A medida que el acceso de los usuarios a entornos de múltiples nubes y sus recursos desde el borde, las sucursales o la red remota se vuelve más frecuente, está claro que las organizaciones necesitan reducir los privilegios de acceso que los servicios de TI otorgan a estos usuarios. De hecho, en el 33% de las interacciones que involucran entornos de nube, X-Force encontró credenciales de texto claro en los dispositivos de los usuarios. “Muy a menudo encontramos credenciales de cuentas de servicio almacenadas en los dispositivos de los usuarios, y muchos de ellos tenían privilegios excesivos, lo que significa que tenían más permisos de los que necesitaban. no lo necesitan para realizar su trabajo o tarea”, afirma el informe. "Las credenciales comprometidas son la causa de más de un tercio de los incidentes en la nube observados por el equipo de X-Force, lo que sugiere que las empresas necesitan equilibrar las necesidades de acceso de los usuarios y los riesgos de seguridad", indica además el estudio.

Índice
  1. Secuestro de ancho de banda
  2. Centrarse en la confianza cero

Secuestro de ancho de banda

"Una vez exitosos, los ciberdelincuentes pueden aprovechar este acceso para llevar a cabo su objetivo final, por ejemplo, implementar mineros de criptomonedas, ransomware y otros tipos de malware", dijo X-Force. "Las soluciones de protección de identidad basadas en inteligencia artificial pueden ayudar a las empresas a identificar anomalías de comportamiento en profundidad y verificar las identidades de los usuarios", afirma el informe. Otros vectores de ataque comunes incluyen la explotación de aplicaciones de uso público y enlaces de phishing/spear phishing, cada uno de los cuales representa aproximadamente el 14% de los incidentes a los que respondió el equipo de X-Force. "Las credenciales de Microsoft Outlook Cloud mencionadas más de 5 millones de veces en mercados ilícitos son, con diferencia, el tipo de acceso más popular vendido en estas plataformas", afirmó Caridi. "La explotación de vulnerabilidades en aplicaciones que interactúan con el público representa un vector de acceso probado para los actores de amenazas, tanto en entornos locales como de nube", afirma el informe. "Las aplicaciones en la nube son generalmente más difíciles de administrar para las empresas debido al creciente número de aplicaciones y servicios utilizados en un entorno moderno, de nube o de nube híbrida", afirma el informe. "Si no se implementa correctamente, uno puede fácilmente pasar por alto una aplicación obsoleta que se ejecuta en la nube o, peor aún, ignorar que la aplicación está en uso".

Éstos son algunos de los otros hallazgos del informe:

- El equipo de X-Force descubrió que los piratas informáticos podían instalar proxyware (una herramienta legítima de segmentación de red) sin el conocimiento de las víctimas, para revender el ancho de banda de las computadoras de estas víctimas. Las investigaciones sugieren que una campaña de proxyjacking podría generar a los actores de amenazas alrededor de $9,60 por 24 horas por dirección IP, y su implementación por parte de Log4j podría generar $220.000 por mes. Además, el proxyjacking puede generar importantes tarifas para las víctimas por parte de los proveedores de servicios en la nube debido al aumento de este tráfico web fuera de control.

- Casi el 60% de las vulnerabilidades reveladas recientemente podrían, si se explotan, permitir a los atacantes obtener información o acceso o privilegios para moverse lateralmente dentro de la red. Ya sea proporcionando a los atacantes información sobre cómo están configurados los entornos o una forma de autenticarse sin autorización para obtener permisos adicionales, es fundamental que las empresas sepan qué riesgos tienen prioridad, especialmente cuando tienen recursos limitados. .

- La herramienta de administración remota Chaos (Trojan.Linux.CHAOSRAT) se implementa como una herramienta de acceso remoto (RAT). Las funciones de RAT Chaos incluyen descargar, cargar y eliminar archivos en modo shell inverso, tomar capturas de pantalla, recopilar información del sistema operativo, apagar y reiniciar el host, así como abrir URL. Este RAT demuestra la sofisticación y evolución de los actores de amenazas basados ​​en la nube.

Centrarse en la confianza cero

Tras estos hallazgos, los investigadores de X-Force hicieron una serie de sugerencias. Por ejemplo, creen que los clientes deberían utilizar tecnologías de seguridad de confianza cero, incluida la implementación de autenticación multifactor (MFA) y el principio de privilegio mínimo. "Esta estrategia es particularmente importante para las nubes privadas que pueden interactuar regularmente con otros activos locales", dice el informe. “La gestión de identidad y acceso (IAM) debe modernizarse para reducir la dependencia de las combinaciones de nombre de usuario y contraseña y combatir el robo de credenciales por parte de actores de amenazas”, sugirieron nuevamente. También recomendaron utilizar capacidades basadas en inteligencia artificial para observar más de cerca las identidades y comportamientos digitales, verificar su legitimidad y proporcionar una autenticación más inteligente. El Informe sobre el panorama de amenazas se basa en datos recopilados por la inteligencia de amenazas de X-Force, pruebas de penetración, compromisos de respuesta a incidentes, Red Hat Insights y datos proporcionados por Cybersixgill, colaborador del informe, entre junio de 2022 y junio de 2023.