Los líderes de TI de la empresa no son los únicos que entienden el potencial del alojamiento en la nube. Y es que no solo ofrece la posibilidad de disfrutar de un mayor tiempo de actividad y escalabilidad a las empresas legítimas, sino que da las mismas capacidades a los ciberdelincuentes. Por ello, es otro componente más del panorama creciente de amenazas al que deben hacer frente las empresas.

Los ciberdelincuentes a menudo utilizan servicios de alojamiento clandestinos para evitar ser detectados, pero no es raro que también recurran a servicios de alojamiento en la nube legítimos para satisfacer sus necesidades. Pueden emplear una cuenta de alojamiento libre o comprometida para alojar malware, sirviéndose de la reputación del proveedor de alojamiento como tapadera para dificultar el bloqueo de la actividad maliciosa.

Vectores comunes de ataque en la nube

Algunos ejemplos de los ataques mediante los cuales los ciberdelincuentes atacan los sistemas en la nube son estos:

Ataque de denegación de servicio distribuido (DDoS)

Los ataques de DDoS saturan al objetivo con tráfico para alterar sus operaciones.

Aprovechamiento de migraciones en vivo

Las migraciones en vivo pueden verse comprometidas de diversas maneras, por ejemplo, mediante alteraciones para que los sistemas que se están migrando se vuelvan vulnerables a ataques, o la creación de múltiples migraciones falsas para lanzar un ataque DoS.

Ataque de denegación de servicio (DoS) del hipervisor

Este tipo de ataques de DoS se centran en el hipervisor, y si son efectivos, pueden afectar a todas las máquinas virtuales que ejecuta el host.

Ataque de hiperllamada

Los ataques de hiperllamada (hypercall) permiten a los ciberdelincuentes atacar a las máquinas virtuales a través del controlador de hypercall y pueden derivar en la ejecución de código malicioso con los privilegios del responsable de la máquina virtual.

Hyperjacking

Estos ataques tienen por objetivo tomar el control del hipervisor. A través de este ataque, el ciberdelincuente puede modificar las máquinas virtuales y llevar a cabo otras acciones maliciosas si lo consigue. Estas amenazas para la seguridad contribuyen a crear un panorama de amenazas complejo contra el que las organizaciones deben defenderse. Para los ciberdelincuentes, pasar desapercibidos es una prioridad.

Además de llevar a cabo estos ataques, los ciberdelincuentes también han empezado a utilizar más el uso de malware de Linux para atacar entornos en la nube, en concreto el ransomware.

Cómo funciona el alojamiento de malware

Estas amenazas para la seguridad contribuyen a crear un panorama de amenazas complejo contra el que las organizaciones deben defenderse. Para los ciberdelincuentes, pasar desapercibidos es una prioridad esencial. Tanto los ciberdelincuentes como los autores de intrusiones selectivas utilizan ampliamente los servicios en la nube para distribuir malware; los autores selectivos también emplean estos servicios en ataques de mando y control (C2).

Esta táctica tiene la ventaja de que puede eludir las detecciones basadas en firmas, ya que, en general, muchos servicios de análisis de redes consideran fiables los dominios de nivel superior de los servicios de alojamiento en la nube. El uso de servicios en la nube legítimos, incluidas las aplicaciones de chat, puede permitir a los adversarios eludir algunos controles de seguridad mezclándose en el tráfico normal de la red. Además, si usan proveedores de alojamiento en la nube para operaciones C2, los adversarios pueden cambiar o eliminar payloads fácilmente desde una URL de mando y control vinculada.

Cómo proteger tu entorno del alojamiento de malware

Educa y forma a tus empleados

La formación en concienciación sobre seguridad permite a los empleados detectar tácticas de ingeniería social. Además, los equipos de seguridad deben comprender las tecnologías en la nube y las vulnerabilidades, los riesgos y las amenazas que pueden suponer un peligro.

Refuerza el control de accesos

Para proteger el acceso a los recursos de la nube es necesario tener visibilidad sobre todo el entorno de la nube. Las organizaciones deberían recurrir a servicios de gestión de identidades y accesos (IAM) nativos de su plataforma de nube para implementar controles de acceso detallados y basados en roles a los recursos de la nube.

Practica la segmentación de usuarios o redes para controlar la propagación de virus

Lo recomendable es empezar por la segmentación básica de las cargas de trabajo entre las distintas redes virtuales, y solo permitir la comunicación necesaria entre ellas. También es importante restringir el tráfico entrante a las aplicaciones mediante firewalls en la capa de la aplicación o la red.

Implementa capacidades de plataforma de protección de aplicaciones nativas de la nube (CNAPP) para detectar y responder

Una CNAPP es una plataforma integral de software nativa de la nube que simplifica la monitorización, la detección y la actuación ante posibles amenazas y vulnerabilidades de seguridad en la nube. La CNAPP combina varias herramientas y capacidades en una única solución de software para minimizar la complejidad y facilitar las operaciones de los equipos de DevOps y DevSecOps, al tiempo que ofrece seguridad integral en la nube y en las aplicaciones en todo el ciclo de vida de la aplicación de integración continua y entrega/implementación continua (IC/EC).

La plataforma CrowdStrike Falcon® incorpora potentes capacidades de CNAPP para proteger los contenedores y ayudar a los desarrolladores a identificar y corregir rápidamente las vulnerabilidades de la nube.

Recurre al Threat Hunting en la nube

El Threat Hunting consiste en la búsqueda proactiva de las ciberamenazas que acechan en una red sin ser detectadas. El Threat Hunting en la nube investiga en profundidad para detectar actores maliciosos en tu entorno que han burlado tus defensas de seguridad en la nube iniciales.