Consejos para protegerse del ransomware en entornos cloud
- Seguridad
Al mismo tiempo que aumenta la adopción de la nube, lo hacen los ataques de ransomware que tienen como objetivo comprometer las cargas de trabajo que están almacenados en ella. Repasamos las claves para proteger la información que está en este modelo.
El ransomcloud es un ataque de ransomware que trata de comprometer los datos críticos de los clientes de servicios en la nube, no al proveedor de servicios en la nube en sí. Sobre estos ataques, que son cada vez más frecuentes, han reflexionado los expertos de CyberArk, y explican que el cifrado debe comenzar en la nube y no en una máquina local, es decir, el atacante debe tener credenciales de usuario válidas para una cuenta en la nube y tener acceso a todos los archivos y recursos permitidos. Después, pueden utilizar ataques de phishing, una fuga de datos conocida, una configuración incorrecta de la nube, malware, ataques DDoS o cualquier otra forma de obtener el control de la cuenta de la nube del usuario. Una vez dentro, el hacker puede implementar ransomware que encripta y roba la información de la víctima.
Las empresas que corren mayor riesgo son las que disponen cuentas en la nube, con acceso a archivos y recursos por parte de múltiples usuarios porque el principal vector de ataque para este tipo de agresiones es el phishing. Otros grupos en riesgo son aquellos que reutilizan sus contraseñas. Las consecuencias de llevar a cabo esta acción pueden incluir una doble extorsión, es decir, perder todos sus archivos y ser objeto de extorsión para evitar que el atacante filtre su información privada.
Métodos de ataque
Hay cuatro métodos comunes que utilizan los atacantes para llevar a cabo un ataque de este tipo. A menudo, explotan la sincronización de máquinas con la nube, por lo que, al cifrar los datos localmente y luego sincronizar el dispositivo con la nube, los datos almacenados en él también se cifran.
Los ciberdelincuentes también utilizan técnicas phishing para obtener las credenciales de sus objetivos y usarlas para acceder a la nube. Relacionado con esto, otro método es apuntar a los propios proveedores cloud porque, así, acceden a múltiples víctimas que utilizan la nube.
La cuarta vía, según CyberArk, es aprovechar la tecnología de nube configurada de forma insegura para obtener acceso.
Además de ransomcloud, los ciberdelincuentes usan criptomineros ordinarios que se ejecutan en entornos de nube para aprovechar la potencia de la computación en la nube. Por ejemplo, los piratas informáticos detrás de Maze Ransomware han notado que las copias de seguridad en la nube facilitan la búsqueda de datos confidenciales, ya que, generalmente, se realiza una copia de seguridad. También aprovechan que en la nube resulta menos probable que se activen los controles de prevención de pérdida de datos (DLP) para extraer los datos y realizar ataques de doble extorsión.
Recomendaciones
Según la firma de seguridad, lo más importante es comprender que existe una responsabilidad compartida por la seguridad de los datos entre las organizaciones y el proveedor de la nube. Para evitar la amenaza, lo primero que deben hacer las empresas es pedirle a su proveedor que planifique estrategias sobre cómo recuperarse de un ataque de ransomware y otro tipo de interrupciones. También deben considerar qué medidas de seguridad tienen implementadas para protegerse contra ataques de esta naturaleza, usar autenticación de dobles factores y otorgar permisos para los recursos de la nube solo a las cuentas de usuario que los necesitan, es decir, el principio de privilegio mínimo.
Otra recomendación es que utilicen herramientas antiphishing y se aseguren de que los empleados reciban formación sobre seguridad. Asimismo, se debe establecer que los empleados utilicen una contraseña complicada que incluya letras, números y caracteres especiales, y se debe aclarar que las contraseñas no deben reutilizarse en todos los servicios. Las empresas también deben exigir cambios de contraseña cada cierto tiempo.
El último consejo es realizar copias de seguridad. Esa información debe estar almacenada en varias ubicaciones y, además, se tienen que realizar pruebas de restauración para evaluar su resiliencia.