Ransomcloud: cómo y por qué el ransomware se dirige a la nube

Los ataques de ransomware han aterrorizado a empresas y gobiernos en los últimos 18 meses. A medida que las organizaciones transfieren más datos a la nube, los delincuentes están dirigiendo su atención a los llamados ataques de «ransomcloud«, que buscan comprometer los datos almacenados en los servicios de la nube. Estos ataques vienen en algunas formas diferentes, cada una de las cuales exige diferentes precauciones. Y mientras continúe la ola de ransomware, advierten los expertos, la sofisticación de los ataques de ransomware dirigidos a la nube seguirá evolucionando.

A estas alturas, la mayoría de las organizaciones son muy conscientes de los riesgos asociados con el ransomware. Pero durante el año pasado, a medida que la pandemia impulsó el crecimiento de la fuerza laboral remota, las plataformas y servicios SaaS se volvieron cada vez más críticos para el éxito comercial y se convirtieron cada vez más en un objetivo para los ciberdelincuentes. A medida que estas amenazas siguen evolucionando, las organizaciones se enfrentan a lo que se conoce como ransomware en la nube. Esta nueva generación de ataques de ransomware está diseñada explícitamente para propagarse a través de la nube y cifrar los datos de SaaS asociados con los servicios en la nube.

Dedicamos esta publicación a analizar el Ransomcloud, qué es, cómo funciona, tipos y cómo protegernos.

¿Qué es Ransomcloud?

El ransomware es un proceso de software malicioso (malware) que infecta sistemas y dispositivos. El ransomware generalmente se implementa con la intención de bloquear el acceso de propietarios legítimos a sus datos, aplicaciones y entornos.

Una vez que un sistema está infectado por ransomware, el proceso malicioso comienza a cifrar archivos. Los propietarios del sistema luego reciben un mensaje exigiendo pagos de rescate. De lo contrario, los datos permanecen encriptados y los propietarios no pueden continuar usando su información.

Un proceso de ransomware podría intentar obtener acceso a más sistemas, extendiéndose a través de un mayor alcance dentro de la red. El ransomware puede causar daños importantes al infectar entornos en la nube, que a menudo están diseñados para facilitar el acceso y el uso.

‘Ransomcloud’ se refiere a cierto tipo de ataque de ransomware que tiene como objetivo los datos en la nube. A medida que los datos se mueven a la nube, el ransomware les sigue. Posiblemente, los atacantes pueden encontrar muchos más datos, por lo tanto, llegar a los datos de la nube es el santo grial para los atacantes.

Esos datos son cada vez más valiosos. Al menos el 50% de las organizaciones que usan la nube planean almacenar datos confidenciales, incluidos datos financieros y de consumidores, al menos en parte en servicios de nube pública en futuro.

Dado el premio que se ofrece, los ciberdelincuentes están desarrollando cada vez más malware para atacar los servicios de computación en la nube.

Como era de esperar, dada la oportunidad de robar o cifrar datos, los servicios de almacenamiento basados ​​en la nube son, con mucho, el objetivo más común para los piratas informáticos.

Y el ransomware, en particular, se usa cada vez más para apuntar a la nube. Junto con el software de criptominería, el ransomware representó más del 50% de los compromisos del sistema detectados que afectaron a los entornos de nube en el último año.

¿Cómo funciona?

Se han identificado tres formas de ataque de ransomware en la nube. En el primer tipo y el más común, el ransomware inicialmente compromete el dispositivo local de la víctima y luego se propaga a la nube cuando sus datos se sincronizan con un servicio de almacenamiento en la nube.

En la segunda forma de ataque ransomcloud, los delincuentes obtienen acceso directo a los sistemas en la nube de una organización a través de phishing, luego cifran o extraen su contenido.

El tercer tipo de ataque se dirige directamente a un proveedor de nube en particular para obtener acceso a los datos de sus clientes. Los atacantes están poniendo como objetivo a los proveedores de la nube porque saben que si pueden infectar la infraestructura del proveedor, pueden cifrar grandes cantidades de datos de los clientes a través de una sola infección.

Tipos de ataques de ransomware en la nube y cómo mitigarlos

Hay tres aspectos críticos que pueden exponer los datos de la nube al ransomware:

Sincronización de ransomware con servicios de intercambio de archivos en la nube

El ransomware a menudo llega a la nube después de infectar primero una computadora local. Desde la máquina local, el ransomware se infiltra en un servicio de intercambio de archivos sincronizado con la nube. El proceso malicioso encripta los archivos en la máquina comprometida y luego distribuye los archivos corruptos a la nube.

Este tipo de ataque puede poner en grave riesgo una red empresarial. Una vez que la infección se propaga a la nube, puede comprometer todo el sistema de uso compartido de la nube de la organización. Luego, el ransomware podría propagarse por la red e infectar otras máquinas conectadas. Si el ransomware llega a archivos de los que no se ha realizado una copia de seguridad, la empresa podría verse obligada a pagar el rescate.

Estos son algunos consejos para ayudar a proteger sus datos contra la sincronización de ransomware:

  • Usa un antivirus de próxima generación, capaz de defenderse contra el ransomware, para proteger los archivos locales.
  • Actualiza continuamente tus sistemas operativos (SO), utilizando los parches de seguridad más recientes.
  • Aprovecha los servicios de filtrado web para bloquear sitios web infectados.
  • Desconecta inmediatamente los dispositivos y sistemas infectados de las redes de Internet.
  • Obtén soporte técnico de profesionales de TI y seguridad.
  • Implementa estrategias de copia de seguridad y recuperación ante desastres, utilizando soluciones propias o de terceros.

Ataques de RansomCloud

RansomCloud es un nuevo giro en Ransomware que apunta a servicios de correo electrónico basados ​​en la nube como Office 365. Los actores de amenazas usan correos electrónicos de phishing para obtener acceso a cuentas de correo electrónico. Los correos electrónicos de phishing a menudo parecen correos electrónicos legítimos, engañando a las víctimas para que hagan clic en archivos que corrompen sus sistemas o brindan acceso a la cuenta a los atacantes.

Una vez que los atacantes obtienen acceso a una cuenta de correo electrónico, pueden usar ransomware para cifrar los mensajes de correo electrónico de la víctima y exigir un rescate. Además, los actores de amenazas a menudo usan cuentas de correo electrónico para lanzar nuevos ataques, hacerse pasar por el propietario de la cuenta, estafar a los miembros de la familia del propietario y propagar malware a los contactos de la víctima.

Estos son algunos consejos para ayudar a proteger sus datos contra los ataques de RansomCloud:

  • Capacitación de los empleados: a menudo hay señales que pueden advertir sobre un ataque de phishing. La capacitación y los recursos educativos actualizados pueden ayudar a garantizar que los empleados de todos los niveles sepan cómo identificar, evitar y denunciar esquemas de phishing.
  • Establece estrategias de copia de seguridad de correo electrónico y recuperación ante desastres, que garantizan que tus datos permanezcan disponibles incluso durante los ataques.

Ataques de ransomware a tu proveedor de servicios en la nube

Para aumentar la rentabilidad de cada ataque, los actores de amenazas a menudo se dirigen directamente a los proveedores de la nube, tratando de explotar las vulnerabilidades para penetrar en un alcance más amplio de los sistemas. Luego pueden exigir pagos de rescate de muchas víctimas.

Estos son algunos consejos para ayudarte a proteger tus datos contra el ransomware dirigido a los proveedores de la nube:

  • Exige transparencia: los proveedores de servicios suelen tener sus propios planes de recuperación de ransomware. Pídele a tu proveedor que proporcione su plan para evaluar la capacidad del proveedor para responder durante desastres importantes, incluidos los ataques de ransomware.
  • Planifica para una interrupción: para garantizar la continuidad del negocio, debes tener un plan propio que describa cómo continuar las operaciones durante las interrupciones del proveedor. Por ejemplo, puedes aprovechar más de un proveedor de nube, utilizando una estrategia de múltiples nubes, para asegurarte de tener un lugar al que recurrir durante las interrupciones. También puedes establecer una estrategia de nube híbrida, utilizando recursos locales durante las fallas, o aprovechar una solución de recuperación de terceros.

Por qué el ransomware apunta a la nube

Los principales motivos por los que los ataques de ransomware se están dirigiendo a la nube son:

Los datos empresariales se trasladan a la nube

La nube alberga una mina de oro de datos, y no solo para las empresas que intentan convertir sus datos en información procesable o vender información. Los ciberdelincuentes han tomado nota de la cantidad de datos que se vierten en la nube y se dan cuenta de que representa un objetivo valioso.

Los proveedores de computación en la nube brindan servicios para empresas e individuos en todo el mundo, y no solo ofertas simples de software como servicio (SaaS). Muchas empresas trasladan todas sus bases de datos a la nube, a menudo utilizando bases de datos como servicio (DBaaS).

Algunas organizaciones trasladan infraestructuras completas a la nube, utilizando Infraestructura como servicio (IaaS). Todos estos servicios albergan datos valiosos necesarios para la continuidad del negocio, lo que atrae la atención de los actores de amenazas.

Los servicios en la nube son críticos para la continuidad del negocio

Para tener éxito, un atacante de ransomware debe apuntar a cargas de trabajo que son absolutamente críticas e insustituibles. De lo contrario, los propietarios no tendrán incentivos para pagar el rescate. Debido a las restricciones de COVID-19, lugares de trabajo completos están cambiando a modelos de trabajo desde casa.

Para proporcionar a los empleados espacios de trabajo virtuales, muchos prefieren eliminar las tradicionales (y lentas) redes privadas virtuales (VPN). En la actualidad, muchos equipos de TI prefieren utilizar la Infraestructura de escritorio virtual (VDI) para autogestionar la implementación de máquinas virtuales (VM) o aprovechar las ofertas de Escritorio como servicio (DaaS) administrado basado en la nube. Todos estos entornos críticos para el negocio son forraje para los actores de amenazas.

Los recursos de la nube son compartidos por muchos

Si los actores de amenazas logran encriptar un servidor completo, que es propiedad de un proveedor de la nube y proviene de muchos usuarios de la nube, entonces aumentan la cantidad de rescate que pueden obtener de un ataque. Todos los usuarios de la nube que comparten los recursos del mismo servidor se ven obligados a pagar un rescate y las ganancias del actor de amenazas se multiplican.

¿Quién es responsable de proteger los datos en la nube del ransomware?

Un factor que complica la protección contra los ataques de ransomcloud es que la responsabilidad de los datos almacenados en el servicio en la nube a menudo se comparte entre el proveedor de la nube y el cliente. Si bien un proveedor de la nube es responsable de garantizar que no se pueda acceder a los datos sin credenciales legítimas, es posible que no asuma la responsabilidad de lo que sucede si esas credenciales son robadas a un cliente.

Tienes esa responsabilidad compartida con los proveedores de la nube y, de hecho, los clientes son ​​responsables de gran parte, según el tipo de servicios que estés tomando.

Por qué la detección tradicional no es eficaz

La seguridad de tus datos en la nube se basa, entre otras cosas, en la detección temprana de amenazas. Hay varias formas que utilizan las diferentes soluciones para detectar ransomware. Estos generalmente caen en una de las siguientes tres categorías:

Detección de firma

Una de las formas más antiguas de detectar archivos maliciosos es mediante el uso de firmas. Las soluciones antivirus tradicionales suelen aprovechar este tipo de mecanismo de detección. En términos simples, la detección basada en firmas utiliza una firma para ransomware conocido y otro malware y luego puede reconocer y detener el ransomware que coincide con esa firma. Puedes pensar en ello como una especie de huella digital. Una vez que se realiza una identificación positiva basada en esa firma, el malware se verifica y bloquea.

El problema y la limitación con un enfoque basado en firmas es que los atacantes pueden cambiar la «firma» del ransomware cambiando el archivo malicioso de tal manera que no coincida con la firma «conocida» que sería bloqueada. Esto permite a los piratas eludir el enfoque basado en firmas para eludir las medidas de seguridad vigentes. En este punto, el uso de firmas es un enfoque tradicional y anticuado para proteger tus datos contra el ransomcloud.

Detección de tráfico anormal

Otro enfoque ampliamente utilizado para detectar y bloquear ransomware es la detección de tráfico anormal. La detección de tráfico anómalo intenta detectar el tráfico malicioso examinando los patrones de tráfico y detectando aquellos patrones que parecen ransomware. El punto débil de la detección de tráfico anómalo es que puede dar lugar a altas tasas de falsos positivos.

Un falso positivo ocurre cuando tu solución de seguridad de almacenamiento en la nube detecta patrones de tráfico que pueden parecer tráfico de ransomware pero que en realidad son legítimos. Sin embargo, esto no es una ciencia exacta y puede resultar en el bloqueo de tráfico de red legítimo que no es realmente malware o, específicamente, ransomcloud.

Detección de comportamiento anormal de archivos

Las soluciones actuales que pueden detectar y detener eficazmente el ransomware avanzado necesitan utilizar técnicas más avanzadas que la firma tradicional y la detección de tráfico. La detección de comportamiento anormal de archivos analiza el comportamiento del archivo en busca de diferentes tipos de anomalías para hacer coincidir ese comportamiento con un tipo particular de malware.

Las soluciones que aprovechan los motores de aprendizaje automático que pueden diferenciar de manera inteligente entre un comportamiento benigno y un comportamiento malicioso brindan capacidades poderosas a las empresas que buscan detener el ransomcloud antes de que destruya cantidades significativas de datos críticos para el negocio.