¡No espere hasta su próxima factura para enterarse de un ataque! – Pura seguridad
El Equipo de Acción de Ciberseguridad de Google acaba de publicar el primer número de un boletín titulado. liberado Inteligencia de amenazas en la nube.
Las principales advertencias no son sorprendentes (los visitantes habituales de Naked Security han leído sobre ellas aquí durante años) y pueden reducirse a dos hechos principales.
Primero, los ladrones aparecen rápidamente: Ocasionalmente, se necesitan días para encontrar instancias de nube inseguras y reiniciadas y entrar, pero Google escribió que los tiempos de descubrimiento de interrupción y entrada eran «solo 30 minutos».
En una investigación de Sophos hace dos años que queríamos específicamente medir cuánto tiempo tardaron en visitar los primeros ciberdelincuentes, nuestros honeypots registraron tiempos de primera detonación de 84 segundos sobre RDP y 54 segundos sobre SSH.
¡Imagínese si fuera solo un minuto después de que firmó el contrato en su nueva propiedad para que los primeros ladrones se colaran por su entrada para probar todas sus puertas y ventanas! (Sin juego de palabras).
Índice de contenido
Atacado no importa qué
Es importante destacar que las instancias en la nube que usamos en nuestra investigación no eran el tipo de servidor en la nube que configuraría una empresa típica, ya que en realidad nunca se nombraron, anunciaron, vincularon o usaron para fines reales a través de DNS.
En otras palabras, los primeros ladrones nos encontraron en aproximadamente un minuto, simplemente porque aparecimos en Internet en primer lugar: fuimos atacados sin importar lo que hiciéramos para mantener un perfil mínimo.
No tuvo que esperar a que publiquemos los servidores nosotros mismos como lo haría al lanzar un nuevo sitio web, blog o sitio de descarga.
Del mismo modo, los delincuentes no tuvieron que esperar a que configuráramos los servidores como objetivos de API de red estándar (algo que en la jerga técnica se conoce de manera ambigua como Puntos finales) y comenzaron a generar tráfico visible ellos mismos, que podrían descubrirse utilizando estos servicios en línea.
Por lo tanto, en la vida real, es probable que la situación sea incluso peor que nuestra investigación, ya que definitivamente eres un objetivo común y automático para los delincuentes que simplemente escanean, vuelven a escanear y vuelven a escanear Internet. alguien; y también puede ser un objetivo específico e interesante para los delincuentes que no solo buscan todo el mundo, pero para alguien.
En segundo lugar, las contraseñas débiles siguen siendo la forma principal de: Google ha confirmado que las contraseñas débiles simplemente no una cosa utilizado por los ciberdelincuentes en las intrusiones en la nube, sin embargo la cosa.
Técnicamente, las contraseñas débiles (una categoría que desafortunadamente no tiene ninguna contraseña) no tenían una mayoría absoluta en «¿Cómo ingresaron?» De Google. List, pero al 48% fue una decisión difícil.
En particular, los errores de seguridad de las contraseñas estaban muy por delante de la siguiente técnica de intrusión y entrada más probable, que era un software sin parches.
Probablemente haya adivinado que la aplicación de parches sería un problema, dada la cantidad de veces que escribimos sobre este tema en Naked Security: el software vulnerable deja entrar al 26% de los atacantes.
Curiosamente, el 4% de los robos de Google supuestamente fueron causados por usuarios que publicaron accidentalmente sus propias contraseñas o claves de seguridad al cargarlas por error mientras publicaban material de código abierto en sitios como GitHub.
Irónicamente, la última advertencia de Naked Security sobre los riesgos de algo llamado «autoincriminaciones de ciberseguridad» llegó la semana pasada.
Cubrimos cómo los investigadores en el Reino Unido rastrearon 4400 proyectos de GitHub que de alguna manera consiguieron enredar los propios archivos de cookies de Firefox del cargador, una búsqueda que tardó literalmente segundos en reproducirse.
Y ese es solo un tipo de archivo que puede contener secretos de API de una aplicación en particular en un servicio de uso compartido en la nube en particular.
No estamos seguros de si sentirnos aliviados de que la autoincriminación solo represente el 4% de los robos, o consternados de que esta técnica de robo (no estamos seguros de que sea lo suficientemente sofisticada como para llamarla «piratería») estaba en el lista en absoluto.
¿Qué pasa con el ransomware?
Sabemos lo que estás pensando.
«Ciertamente, los ataques fueron solo por ransomware», Tu puedes decir «Porque ese es el único problema de ciberseguridad del que preocuparse en este momento».
Desafortunadamente, cuando observa el ransomware de forma aislada, lo coloca en la parte superior de la cola para tratarlo de forma aislada y pasa a un segundo plano con respecto a todo lo demás, lamentablemente no está pensando lo suficientemente amplio en la ciberseguridad.
Lo que pasa con el ransomware es que casi siempre es el final de la línea para los delincuentes en su red porque la idea del ransomware es obtener la máxima atención.
Como sabemos en el equipo de Sophos Rapid Response, los atacantes de ransomware no dejan a sus víctimas ninguna duda de que están en todas partes de su vida digital.
Las notificaciones de ransomware de hoy ya no se basan simplemente en colocar calaveras encendidas en cada escritorio de Windows y cobrar el dinero de esa manera.
Hemos visto a estafadores imprimir notas de rescate en todas las impresoras de la empresa (incluidos los terminales de punto de venta para que los clientes sepan lo que acaba de pasar) y amenazar a los empleados con datos robados muy personales, como números de seguro social.
Incluso escuchamos que dejaron mensajes de correo de voz sorprendentemente lacónicos explicando con despiadado detalle cómo van a terminar con tu negocio cuando no estás jugando su juego:
¿Qué pasó realmente después?
Bueno, en el informe de Google, todas menos una de la lista de «Acciones posteriores al compromiso» se referían a los ciberdelincuentes que usaban su instancia en la nube para dañar a otra persona, incluidos:
Búsqueda de nuevas víctimas de su cuenta.
Ataque a otros servidores de su cuenta.
Transmitir malware a otras personas con sus servidores.
Señal de inicio para DDoSes, corto para denegación de servicio distribuida Ataques.
Enviar spam para que te pongan en la lista negra, no a los delincuentes.
Pero en la parte superior de la lista, aparentemente en el 86% de los compromisos exitosos, estaba Minería de criptomonedas.
Aquí es donde los delincuentes usan su potencia informática, su espacio de almacenamiento y su almacenamiento asignado (en pocas palabras, roban su dinero) para extraer criptomonedas que se guardan para sí mismos.
Recuerde, el ransomware no funcionará para los delincuentes si tiene un servidor en la nube reconfigurado que todavía no ha utilizado a su capacidad total porque es casi seguro que no hay nada en el servidor para que los delincuentes lo usen para chantajearlo.
Los servidores no utilizados son poco comunes en las redes regulares porque no puede permitirse dejarlos inactivos después de la compra.
Pero no es así como funciona la nube: puede pagar una suma modesta para brindarle la capacidad del servidor cuando la necesite, sin un gran costo de capital inicial antes de comenzar a funcionar.
En realidad, no comienza a dar sus frutos hasta que comienza a utilizar en gran medida los recursos asignados: un servidor inactivo es un servidor barato; Es solo cuando su servidor está ocupado que realmente comienza a aumentar las tarifas.
Si tiene su economía correcta, espere estar a la vanguardia, ya que un aumento en la carga del lado del servidor debería coincidir con un aumento en el negocio del lado del cliente, por lo que sus costos adicionales se cubren automáticamente con ingresos adicionales.
Pero no existe ese equilibrio económico cuando los delincuentes golpean servidores que supuestamente están inactivos solo para su propio beneficio financiero.
En lugar de pagar dólares todos los días para que el rendimiento del servidor esté esperando cuando lo necesite, podría estar pagando miles de dólares al día por el rendimiento del servidor que le brinda un gran cero.
¿Qué tengo que hacer?
Elija las contraseñas correctas. Vea nuestro video sobre cómo elegir un buen administrador de contraseñas y lea nuestros consejos sobre administradores de contraseñas.
Utilice 2FA donde y cuando pueda. Si usa un administrador de contraseñas, configure 2FA para proteger su base de datos de contraseñas.
Parchear temprano, parchear a menudo. No se limite a hacer zoom en los llamados Cero días que los ladrones ya conocen. Los parches de vulnerabilidad se someten a ingeniería inversa de forma rutinaria para descubrir cómo explotarlos, a menudo por investigadores de seguridad que luego hacen públicos estos exploits, aparentemente para educar a todos sobre los riesgos. Alguien, por supuesto, incluye el inframundo cibernético.
Invierta en protección proactiva de seguridad en la nube. No espere a que llegue su próxima factura en la nube (¡o a que la compañía de su tarjeta de crédito le envíe una advertencia de saldo!) Antes de descubrir que los delincuentes están cobrando y lanzando ataques contra su centavo.
Piensa en esto, de esta manera: Administrar la seguridad de su nube es el mejor tipo de altruismo.
Tienes que hacerlo para protegerte de todos modos, pero al hacerlo, estás protegiendo a cualquier otra persona que de otra manera recibiría DDoSed, spam, sondeo, piratería o infección de tu cuenta.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
