El informe de Datadog destaca los sofisticados campos de ataque de AWS

Un informe publicado por Datadog sugiere que la actividad cibercriminal dirigida específicamente a los servicios de infraestructura en la nube proporcionados por Amazon Web Services (AWS) está aumentando tanto en sofisticación como en escala.

En un caso, un usuario malintencionado pudo obtener acceso a una cuenta para crear usuarios adicionales de un servicio de administración de acceso de identidad (IAM) que luego se autenticó a través de la consola de AWS. Luego utilizaron esa capacidad para acceder a EC2 Instance Connect, una herramienta que les permitió intentar lanzar instancias EC2 en una región no utilizada por los clientes.

En el segundo ejemplo, el atacante creó una gran cantidad de clústeres Fargate implementados en Elastic Container Services (ECS) de Amazon que luego se utilizaron para ejecutar una gran cantidad de contenedores con fines de criptominería. En menos de dos minutos, los ciberdelincuentes pudieron crear múltiples clústeres de ECS Fargate con nombres aleatorios para ejecutar contenedores creados utilizando definiciones de tareas de ECS, y cada definición de tarea garantizaba que cada clúster ejecutara 25 tareas. Luego repitieron el proceso en 17 regiones. En total, los investigadores de Datadog sospechan que cientos de clústeres de ECS Fargate y tareas de ECS se crearon utilizando 40 imágenes de contenedores alojadas en Docker Hub que se utilizaron para implementar miles de contenedores maliciosos.

Andrew Krug, líder del equipo de evangelización de seguridad en Datadog, dijo que la velocidad con la que se crearon esos grupos muestra que los ciberdelincuentes comprenden mejor cómo utilizar eficazmente la automatización para comprometer los entornos de computación en la nube a escala. Esto es especialmente problemático porque el costo de ejecutar todos esos contenedores maliciosos puede ser prohibitivo para muchas organizaciones, señaló.

En conjunto, estos ataques resaltan la necesidad de un monitoreo continuo de los entornos de AWS para identificar, por ejemplo, lagunas en las llamadas a la interfaz de programación de aplicaciones (API) que indican que una cuenta ha sido comprometida, agregó.

Además, las herramientas de seguimiento del gasto en la nube se pueden utilizar para, por ejemplo, identificar áreas donde los contenedores nunca están autorizados para ese fin, señaló.

Por supuesto, ninguno de estos problemas ocurriría si las credenciales necesarias para acceder a las cuentas de AWS no estuvieran comprometidas en primer lugar. Cualquier persona con acceso a servicios en la nube es siempre un objetivo principal de un ataque de phishing. Los equipos de ciberseguridad también deben garantizar que los privilegios no se puedan escalar fácilmente cuando las credenciales del incidente se vean comprometidas.

En general, los servicios de infraestructura en la nube son más seguros que los entornos de TI locales, pero los mismos procesos utilizados para hacerlos fácilmente accesibles también los hacen vulnerables a los malos actores. Hoy en día, los ciberdelincuentes saben bien cómo utilizar las diversas herramientas y servicios proporcionados por los proveedores de servicios en la nube para sus propios fines.

Desafortunadamente, en una era en la que muchos recursos de la nube todavía los proporcionan desarrolladores de aplicaciones con poca o ninguna consideración por las mejores prácticas de ciberseguridad, es probable que surja un problema. El desafío, como siempre, es primero reducir la posibilidad de que un servicio en la nube se vea comprometido mediante el endurecimiento de los controles de ciberseguridad y luego, en caso de que ocurra una infracción, tener los medios para detectarla y aislarla rápidamente.

Puede interesarte

El superintendente de Henderson ISD que renunciará establece la agenda de la reunión

HENDERSON, Texas (KETK) – Dr. Según se informa, Thurston Lamb renunciará a su puesto como …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *