RansomCloud es un ransomware diseñado para infiltrarse y cifrar el almacenamiento en la nube. La responsabilidad por la seguridad de sus datos no es tan sencilla como podría pensar. Te contamos lo que necesitas saber.
Ransomware y RansomCloud
El ransomware es un tipo de malware que infecta las computadoras y servidores de una víctima. Cifra los archivos y datos de esos dispositivos que dejan la red inoperable. Para revertir el proceso, conocido como descifrado, se requiere una clave de descifrado única. Los ciberdelincuentes exigen un rescate a cambio de la clave.
El ransomware es un gran negocio. Desde el inicio de la pandemia de COVID-19, los ataques de ransomware han aumentado un 600%. En el 67% de los casos se utilizan correos electrónicos de phishing para atrapar a la víctima. Los ataques de phishing son correos electrónicos diseñados para imitar fielmente los correos electrónicos de fuentes confiables, como servicios en línea, bancos y otras plataformas de pago como PayPal.
Los correos electrónicos intentan generar una sensación de urgencia. Hay un problema que necesita solución en este momento o una oferta especial se cerrará pronto. ¡No se lo pierda! Abrir un archivo adjunto contaminado infectará su computadora. Al hacer clic en un enlace malicioso, accederá a un sitio web falso que recopilará sus credenciales o descargará malware en su computadora.
Mientras tanto, el paso a la computación en la nube continúa sin cesar. Uno de los atractivos percibidos es una mayor solidez de las operaciones y una continuidad empresarial superior. La infraestructura que sustenta las ofertas de nube de proveedores de servicios como Microsoft, Google y Amazon es de clase mundial. Y si alguien sabe de seguridad deben ser esos titanes de la tecnología, ¿no? Eso no significa que estas plataformas, o cualquier otra plataforma, vengan con una seguridad perfectamente empaquetada para colocar y olvidar. Como es de esperar, es un poco más complicado que eso.
Los ciberdelincuentes han comenzado a atacar plataformas y servicios en la nube con ataques de ransomware, lo que dio origen al nombre “ransomcloud”. Ya sea que adopte una nube pública, una nube híbrida o una infraestructura de múltiples nubes, los ciberdelincuentes quieren acceder a sus datos. Cuantos más datos tenga en un lugar, más atractivo se volverá ese lugar. Si ese mismo almacenamiento de datos contiene los datos de muchas empresas, su valor para los ciberdelincuentes aumenta.
Tipos de ataque RansomCloud
Hay tres tipos de ataques que pueden infectar el almacenamiento en la nube.
Aprovechando la sincronización
La mayor parte del ransomware se transmite mediante ataques de phishing. El primer tipo de ataque de ransomcloud infecta la computadora local de la víctima. Los correos electrónicos de phishing se basan en una acción de la víctima, como intentar abrir un archivo adjunto falso o hacer clic en un enlace. Es poco probable que el archivo adjunto contenga el malware. Más a menudo, ejecutan un pequeño programa llamado “cuentagotas”. El dropper se ejecuta en segundo plano y descarga e instala el malware real. Al hacer clic en un enlace también se pueden iniciar descargas.
El malware puede presentar una ventana emergente al usuario que parece una solicitud de permiso de un software confiable. En lugar de dar permiso, por ejemplo, a que su antivirus escanee la parte del usuario de su almacenamiento en la nube, sin darse cuenta está dando derechos de acceso al malware. El malware ahora puede acceder a esa nube.
Una vez que la computadora de la víctima está infectada, el malware puede distribuirse a través de la red de una máquina a otra y de un servidor a otro. Algunos ransomware buscan un servicio de sincronización de archivos que se comunica con un servicio en la nube. Aprovecha esto y obtiene acceso al almacenamiento en la nube, infectando y cifrando los datos en la nube.
Una vez que se ha establecido el acceso a la nube, el ransomware activa y cifra las computadoras locales. Espera hasta que se haya infiltrado con éxito en la nube (lo cual no puede hacer si cifra todas las computadoras locales de inmediato) o decide que no hay ninguna ruta a la nube que pueda comprometer y se decide por una ruta puramente Infección local.
Conexión remota con credenciales robadas
El segundo tipo de ataque infecta el dispositivo local o móvil de la víctima. Roba las credenciales de la nube del usuario al monitorear las conexiones de red y observar los intentos de autenticación. Puede dirigir al usuario a un portal web falso que se hace pasar por la plataforma en la nube real. Cuando la víctima inicia sesión en el portal fraudulento, recopila sus credenciales.
Al rastrear las pulsaciones de teclas en la computadora local infectada, el malware puede copiar los detalles de la conexión a una computadora remota. La computadora remota ingresa automáticamente las mismas credenciales. Incluso si se utiliza la autenticación de dos factores, el malware local capta las pulsaciones de teclas en el dispositivo de la víctima y las transmite a la computadora remota de los ciberdelincuentes.
Un inicio de sesión simultáneo desde la computadora de los ciberdelincuentes funciona porque la identificación y la contraseña que han escuchado a escondidas de la computadora de la víctima son correctas y la verificación 2FA es el token de verificación válido y actual. De este modo, los ciberdelincuentes ahora tienen una conexión a su nube desde su propio ordenador. Podría ser almacenamiento de datos o correo electrónico corporativo.
Atacar al proveedor de la nube
Un ataque exitoso a un proveedor de nube es un gran golpe para los ciberdelincuentes, y también un gran premio. Pueden comprometer toda la plataforma y exigir rescates a algunos o incluso a todos los clientes de ese servicio.
A finales de agosto de 2019, Digital Dental Record y PerCSoft dijeron a sus 400 clientes (todos consultorios dentales) que su plataforma en la nube DDS Safe para dentistas había sido atacado por ransomware. Aproximadamente 400 consultorios dentales cifraron sus datos.
El 12 de agosto de 2021, Microsoft fue notificado de una vulnerabilidad en su Base de datos de Azure Cosmos, el software central de su oferta de nube Azure. Se lo informó un investigador de seguridad. Microsoft mitigó inmediatamente la vulnerabilidad. No hay pruebas de que se haya aprovechado la vulnerabilidad.
La vulnerabilidad estaba en un producto de código abierto llamado Cuaderno Jupyter que se integró en Cosmos DB y se activó de forma predeterminada. Microsoft respondió a la notificación del investigador de seguridad con acciones de libro de texto, controlando y mitigando la situación de inmediato. Estuvo cerca, pero no fue una infracción real. Pero sí demuestra que todos pueden ser vulnerables.
¿Quién es responsable de la seguridad en la nube?
La responsabilidad es compartida, en la medida en que cada uno de ustedes tiene responsabilidades. Pero eres responsable de diferentes partes del rompecabezas. Un proveedor de nube es responsable de garantizar que no se pueda acceder a los datos sin credenciales legítimas. Es su deber garantizar que sus datos no estén expuestos a riesgos debido a una vulnerabilidad. Y si un ciberdelincuente explota esa vulnerabilidad, es responsable de la infracción.
Sin embargo, no son responsables de las vulnerabilidades o exploits que se produzcan como resultado de contraseñas predeterminadas o mal elegidas, software mal configurado (incluso si es software que le han proporcionado como parte de su servicio) ni de fallas en el sitio web. parte de su personal. Si alguien de su organización es víctima de un ataque de phishing, su proveedor de nube no es responsable.
Algunas organizaciones asumen que toda la seguridad de la nube recae en el proveedor de la nube. Ese no es el caso en absoluto. Es importante comprender exactamente dónde residen las responsabilidades y cuál es el límite para cada parte. Esta es la clave para estar seguro. Debe comprender lo que ofrecen para poder ver lo que necesita ofrecer además de eso. Y saber dónde se encuentran los límites de la responsabilidad es la única manera de asegurarse de que no haya áreas sin vigilancia o descuidadas entre usted y su proveedor.
Cómo defender sus datos
Pide claridad. Los proveedores de nube de buena reputación habrán planificado cómo recuperarse de un ataque de ransomware y otros tipos de interrupciones. Lo habrán documentado y ensayado. Es posible que no puedan compartir el plan (podría revelar información que es solo para uso interno y podría debilitar su seguridad), pero puede preguntar cuándo se probó o revisó por última vez. Es posible que puedan compartir con usted los resultados del último recorrido del plan.
Sea claro dónde terminan sus responsabilidades y dónde comienzan las suyas. Lea la letra pequeña.
Asuma que puede pasar lo peor y planifique para ello. Si su proveedor de nube sufre una interrupción, ¿cómo seguirá operando? Por ejemplo, podría aprovechar más de un proveedor de nube y adoptar una estrategia de múltiples nubes. Se puede lograr lo mismo con una estrategia híbrida, utilizando servidores locales. Cualquiera que sea su plan, verifique que funcione antes de necesitarlo.
Realice siempre copias de seguridad, guárdelas en varias ubicaciones y realice restauraciones de prueba. Actualice los sistemas operativos, el software y el firmware de los dispositivos de red con parches de seguridad y corrección de errores. Utilice un paquete de seguridad para terminales líder en el mercado, que cubra antivirus y antimalware.
Debido a que casi el 70 % de los ataques de ransomware se inician a través de correos electrónicos de phishing, asegúrese de que su personal reciba capacitación en concientización sobre ciberseguridad y que la repongan periódicamente. Un ataque de phishing benigno le brinda una medida de cuán susceptible es su fuerza laboral a este tipo de ingeniería social. Existen servicios en línea que puede utilizar y empresas de seguridad que llevarán a cabo campañas de phishing benignas para usted.
Un poco de educación puede ahorrar muchos dolores de cabeza. Y posiblemente tu negocio.
