Trend Micro Research ha desarrollado un recurso muy relevante relacionado con el hosting y la infraestructura en el underground criminal. Hemos lanzado la segunda en esta serie de tres partes de nuestro reporte que detallan el qué, el cómo y el por qué del hosting cibercriminal (puede leer la primera parte aquí).
Como parte de este reporte, nos sumergimos en el ciclo de vida común de un servidor comprometido desde el compromiso inicial hasta las diferentes etapas de monetización que prefieren los cibercriminales. También es importante notar que, sin importar si el servidor de una empresa es on-premise o está basado en la nube, a los criminales no les importa qué tipo de servidor comprometen.
Para un criminal, cualquier servidor expuesto o vulnerable es blanco fácil.
Servidores en la Nube vs. On-Premise
A los cibercriminales no les importa dónde se encuentran los servidores. Pueden usan el espacio de almacenamiento, recursos de cómputo o robar datos sin importar a qué tipo de servidor puedan acceder. Cualquier servidor expuesto tendrá más posibilidades de ser abusado.
Conforme la transformación digital continúa y da lugar para que el trabajo remoto potencialmente continúe, los servidores en la nube tienen más posibilidades de verse expuestos. Muchos equipos de TI, desafortunadamente, no están configurados para ofrecer la misma protección para la nube que para los servidores on-premise.
Como una nota al margen, queremos hacer énfasis en que este escenario solamente aplica a las instancias en la nube que replican el almacenamiento o el poder de procesamiento de un servidor on-premise. Las funciones serverless o los containers no caerán víctimas de este mismo tipo de compromiso. Además, si el atacante compromete la cuenta de la nube, a diferencia de una sola instancia, entonces hay un ciclo de vida del ataque completamente diferente ya que podrán utilizar los recursos a su voluntad. Aunque esto es posible, sin embargo, no nos enfocaremos en esto.
Focos Rojos de un Ataque
Muchos equipos de TI y de seguridad tal vez no busquen señales tempranas de un ataque. Antes de verse afectados por ransomware, sin embargo, existen focos rojos que podrían alertar a los equipos de la existencia de una brecha.
Si un servidor se ve comprometido y es usado para mining de criptomonedas (también conocido como cryptomining), esta puede ser una de las señales más importantes para un equipo de seguridad. El descubrimiento de malware de cryptomining corriendo dentro de cualquier servidor podría resultar en que la empresa tome acciones inmediatas e iniciar una respuesta a incidentes para bloquear ese servidor.
Este indicador de compromiso (IOC) es importante porque, aunque el malware de cryptomining a menudo se considera menos serio que otros tipos de malware, también se utiliza como una táctica de monetización que puede correr en el fondo mientras que el acceso al servidor se vende para otras actividades maliciosas. Por ejemplo, el acceso puede venderse para usarse como un servidor para hosting en el underground. Mientras tanto, los datos podrían exfiltrarse y venderse como información personalmente identificable (PII) o para espionaje industrial, o podría venderse para un ataque dirigido de ransomware. Es posible pensar que la presencia de malware de cryptomining como la primera señal de algo más grave. Este es el caso, al menos, para criminales access-as-a-service (AaaS) que usan esto como parte de su modelo de negocio.
Ciclo de Vida de un Ataque
Los ataques de los servidores comprometidos siguen un camino común:
- Compromiso inicial: En esta etapa, ya sean una instancia en la nube o en un servidor on-premise, es claro que un criminal ha tomado el control.
- Categorización de activos: Esta es la etapa del inventario. Aquí un criminal realiza su evaluación basándose en preguntas como: ¿qué datos hay en el servidor? ¿existe oportunidad de movimiento lateral hacia algo más lucrativo?, ¿quién es la victima?
- Exfiltración de datos sensibles: En esta etapa, el criminal roba correos corporativos, bases de datos de clientes y documentos confidenciales, entre otros. Esta etapa puede suceder en cualquier momento después de la categorización de activos si es que los criminales encontraron algo valioso.
- Minería de criptomonedas: Mientras el atacante encuentra un cliente para el espacio en el servidor, un ataque dirigido otro medio de monetización, usa el cryptomining para ganar dinero en secreto.
- Reventa o uso para ataques dirigidos u otros medios de monetización: De acuerdo con lo que el criminal encuentre durante la categorización de activos, podría planear su propio ataque de ransomware dirigido, obtener acceso completo al servidor para realizar espionaje industrial o vender el acceso a alguien más para obtener más dinero.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/10/IR-BLOG.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
El ciclo de vida de monetización de un servidor comprometido
A menudo, el ransomware dirigido es la última etapa. En la mayoría de los casos, la categorización de activos revela datos que son valiosos para el negocio pero no necesariamente para el espionaje.
Un entendimiento profundo de los servidores y de la red permite que los criminales detrás del ransomware dirigido ataquen a la empresa donde pueden causar más daño. Estos criminales conocerían el conjunto de datos, dónde se encuentra, si es que existen respaldos y más. con un plano tan detallado de la organización en sus manos, los cibercriminales podrían bloquear sistemas críticos y demandaron rescate más alto, como vimos en nuestro security roundup report de la primera mitad del 2020.
Además, aunque un ataque de ransomware podría ser el problema visible y urgente para resolver durante un incidente, el mismo ataque también podría indicar qué algo más serio ya sucedió: el robo de datos corporativos, lo cual debería ser un factor en el plan de respuesta de la empresa. De forma más importante, debería notarse que una vez que una empresa encuentra un IOC de criptomonedas, detener al atacante en seco ahí mismo podría ahorrarles tiempo y dinero considerables en el futuro.
Al final del día, sin importar dónde se almacenan los datos de una empresa, hybrid cloud security es crítico para prevenir este ciclo de vida.
Leave a Reply