El entorno laboral posterior a la pandemia ha traído cambios significativos en el panorama de la seguridad de la red. Las organizaciones han comenzado a confiar más en las soluciones de almacenamiento en la nube, como Google Drive y Dropbox, para llevar a cabo sus operaciones diarias.

Los servicios de almacenamiento en la nube brindan una forma simple y segura de satisfacer las necesidades de una fuerza laboral remota. Pero no son solo las empresas y los empleados los que aprovechan estos servicios. Los piratas informáticos están encontrando formas de aprovechar la confianza en los servicios en la nube y hacer que sus ataques sean extremadamente difíciles de detectar.

¿Cómo sucede? ¡Vamos a averiguar!

¿Cómo utilizan los piratas informáticos los servicios de almacenamiento en la nube para evitar ser detectados?

Aunque los usuarios suelen confiar en los servicios de almacenamiento en la nube encriptados, puede ser extremadamente difícil para las empresas detectar actividades maliciosas. A mediados de julio de 2022, investigadores del

instagram viewer
Redes de Palo Alto descubrió actividad maliciosa que aprovechaba los servicios en la nube por parte de un grupo llamado Cloaked Ursa, también conocido como APT29 y Cozy Bear.

Se cree que el grupo tiene conexiones con el gobierno ruso y es responsable de los ataques cibernéticos contra el Comité Nacional Demócrata de EE. UU. (DNC) y el 2020 Truco de la cadena de suministro de SolarWinds. También participa en varias campañas de espionaje cibernético contra funcionarios gubernamentales y embajadas de todo el mundo.

Su próxima campaña implica el uso de soluciones legítimas de almacenamiento en la nube como Google Drive y Dropbox para proteger sus actividades. Así es como el grupo realiza estos ataques.

El modus operandi del ataque

El ataque comienza con correos electrónicos de phishing enviados a objetivos de alto perfil en las embajadas europeas. Se hace pasar por invitaciones a reuniones con embajadores y viene con una supuesta agenda en un adjunto PDF malicioso.

El adjunto contiene un archivo HTML malicioso (EnvyScout) alojado en Dropbox que facilitaría la entrega de otros archivos maliciosos, incluida una carga útil de Cobalt Strike en el dispositivo del usuario.

Los investigadores especulan que el destinatario no pudo acceder inicialmente al archivo en Dropbox, probablemente debido a políticas gubernamentales restrictivas sobre aplicaciones de terceros. Sin embargo, los atacantes se apresuraron a enviar un segundo correo electrónico de spear phishing con un enlace al archivo HTML malicioso.

En lugar de usar Dropbox, los piratas informáticos ahora confían en los servicios de almacenamiento de Google Drive para ocultar sus acciones y entregar cargas útiles al entorno de destino. Esta vez, la huelga no fue bloqueada.

¿Por qué no se bloqueó la amenaza?

Parece que dado que muchos lugares de trabajo ahora dependen de las aplicaciones de Google, incluido Drive, para realizan sus operaciones diarias, el bloqueo de estos servicios generalmente se considera ineficiente para productividad.

La naturaleza omnipresente de los servicios en la nube y la confianza de los clientes en ellos hacen que esta nueva amenaza sea extremadamente difícil o incluso imposible de detectar.

¿Cuál es el propósito del ataque?

Al igual que muchos ataques cibernéticos, parece que la intención era usar malware y crear una puerta trasera en una red infectada para robar datos confidenciales.

La Unidad 42 de Palo Alto Network ha alertado tanto a Google Drive como a Dropbox sobre el abuso de sus servicios. Se informa que se tomaron las medidas apropiadas contra las cuentas involucradas en la actividad maliciosa.

Cómo protegerse contra los ciberataques en la nube

Dado que la mayoría de las herramientas de detección y antimalware se centran más en los archivos descargados que en los archivos en la nube, los piratas informáticos ahora recurren a los servicios de almacenamiento en la nube para evitar la detección. Aunque tales intentos de phishing no son fáciles de detectar, hay pasos que puede seguir para mitigar los riesgos.

  • Habilite la autenticación multifactor para sus cuentas: Incluso si las credenciales de usuario se obtienen de esta manera, el pirata informático aún requeriría acceso al dispositivo que también realiza la validación de múltiples factores.
  • Aplica el Privilegio del Principio Mínimo: Una cuenta de usuario o dispositivo solo necesita el acceso necesario para un caso específico.
  • Revocar el acceso excesivo a información sensible: Una vez que a un usuario se le otorga acceso a una aplicación, recuerde revocar esos privilegios cuando ya no se necesite el acceso.

¿Cuál es la conclusión clave?

Los servicios de almacenamiento en la nube han supuesto un gran cambio para que las organizaciones optimicen los recursos, agilicen las operaciones, ahorren tiempo y eliminen algunas responsabilidades de seguridad.

Pero como se desprende de ataques como estos, los piratas informáticos han comenzado a aprovechar la infraestructura de la nube para crear ataques que son más difíciles de detectar. El archivo malicioso podría haber estado alojado en Microsoft OneDrive, Amazon AWS o cualquier otro servicio de almacenamiento en la nube.

Comprender este nuevo vector de amenazas es importante, pero la parte difícil es implementar controles para detectarlo y responder a él. Y parece que incluso los jugadores dominantes en tecnología están luchando con eso.