4 cuestiones a abordar sobre un ataque de ransomcloud

En los últimos meses, los ciberdelincuentes están enfocando sus acciones a los datos que las empresas tienen almacenados en la nube. A medida que esa migración es mayor, los conocidos como ataques de ransomcloud se suceden con más asiduidad, tratando de comprometer los datos críticos de las organizaciones. CyberArk ha querido abordar las principales cuestiones a tener en cuenta acerca de este nuevo peligro.

 

Ransomcloud es un ransomware dirigido a los clientes de servicios en cloud, no al proveedor de servicios en sí. El cifrado debe comenzar en la nube y no en una máquina local; es decir, el atacante debe tener credenciales de usuario válidas para una cuenta en cloud y acceso a todos los archivos y recursos permitidos. Después, los piratas informáticos pueden utilizar un phishing, una fuga de datos conocida, una configuración incorrecta, malware, ataques DDoS o cualquier otra forma de obtener el control de la cuenta del usuario. Una vez dentro, el delincuente puede implementar un ransomware que encripta y roba la información de la víctima.

 

Las empresas que disponen de cuentas en la nube, con acceso a archivos y recursos por parte de múltiples usuarios, son las que corren el mayor riesgo. Esto se debe a que el principal vector de ataque para este tipo de agresiones es el phishing. Otros grupos en riesgo son aquellos que reutilizan sus contraseñas. Las consecuencias de llevar a cabo esta acción pueden incluir una doble extorsión, o sea, perder todos sus archivos y ser objeto de chantaje para evitar que el delincuente filtre su información privada.

 

Hay cuatro métodos comunes:

 

a) Se explota la sincronización de máquinas con cloud, por lo que, al cifrar los datos localmente y luego sincronizar el dispositivo, los datos almacenados en él también se cifran.

 

b) Las campañas de phishing ordinarias, mediante las que los ciberdelincuentes pueden obtener las credenciales de sus objetivos y usarlas para acceder a la nube. 

 

c) Apuntar a los propios proveedores, ya que permite a los criminales acceder a múltiples usuarios de cloud. 

 

d) Aprovechar la tecnología de nube configurada de forma insegura.

 

Además de ransomcloud, los ciberdelincuentes usan criptomineros ordinarios que se ejecutan en entornos cloud para aprovechar el poder de la computación en la nube. Por ejemplo, los piratas informáticos detrás de Maze Ransomware han notado que las copias de seguridad en cloud facilitan la búsqueda de datos confidenciales, ya que, generalmente, se realiza una copia de seguridad. También aprovechan que en la nube resulta menos probable que se activen los controles de prevención de pérdida de datos (DLP) para extraer la información y realizar ataques de doble extorsión.

 

Lo más importante es comprender que existe una responsabilidad compartida entre las organizaciones y el proveedor. Para evitar la amenaza, lo primero que deben hacer las empresas es pedirle a su proveedor que planifique estrategias sobre cómo recuperarse de un ataque de ransomware y otro tipo de interrupciones. También deben considerar qué medidas de seguridad tienen implementadas para protegerse contra acciones de esta naturaleza, usar autenticación de dobles factores y otorgar permisos para los recursos de la nube sólo a las cuentas de usuario que los necesitan (lo que se conoce como principio de privilegio mínimo).

 

También es recomendable que las compañías utilicen herramientas antiphishing y se aseguren de que los empleados reciben formación sobre seguridad. Estos trabajadores tienen que usar una contraseña complicada, que incluya letras, números y caracteres especiales, y entender que las claves no deben reutilizarse en todos los servicios y que han de cambiarse cada cierto tiempo. 

 

Por último, cabe subrayar la necesidad de hacer copias de seguridad. Las organizaciones deben almacenar su información en varias ubicaciones y realizar pruebas de restauración para evaluar su resiliencia.