El equipo de acción de ciberseguridad de Google ha publicado su primer informe llamado “Threat Horizon”, donde su objetivo es proporcionar inteligencia a las organizaciones para garantizar que los entornos en la nube se encuentren mejor protegidos contra las amenazas cibernéticas.
El informe indica que “el 86% de las instancias de Google Cloud comprometidas se utilizaron para realizar minería de criptomonedas, una actividad con fines de lucro”, y agregó que, en la mayoría de los casos, el software de minería de criptomonedas se descargó dentro de los 22 segundos posteriores a la vulneración de la cuenta.
Nota: Los totales no suman 100%, ya que algunas instancias comprometidas se usaron para realizar múltiples
actividades maliciosas
Cerca del 10% de las cuentas comprometidas también se utilizaron para realizar escaneos a otros recursos en Internet para identificar sistemas vulnerables, mientras que el 8% de las instancias se utilizaron para atacar otros objetivos.
Otras amenazas identificadas en el informe expusieron al grupo estatal ruso APT28 también conocido como Fancy Bear apuntaron a 12.000 cuentas de Gmail intentando obtener las contraseñas de los usuarios a través de envíos masivos de phishing, en el que se intentaba engaña a los usuarios para que entreguen sus datos de inicio de sesión.
También identificaron un grupo de amenazas respaldado por el gobierno de Corea del Norte que se hizo pasar por reclutadores de Samsung para enviar archivos adjuntos maliciosos a los empleados de varias empresas de ciberseguridad antimalware de Corea del Sur y se detectaron instalaciones de clientes infectadas con el ransomware Black Matter.
Vulnerabilidades explotadas en instancias en la nube
Google dijo que, en las tres cuartas partes de los ataques a la nube, los atacantes se habían aprovechado la mala seguridad del cliente o del software vulnerable de terceros.
Recomendaciones
- Audite los proyectos publicados para asegurarse de que los certificados y las credenciales no se expongan accidentalmente.
- El código descargado por los clientes debe someterse a autenticación hash.
- Utilice múltiples capas de defensa para combatir el robo de credenciales y cookies.
Sobre la base de estas observaciones, hay una serie de medidas de mitigación para contrarrestar estas amenazas.
| Riesgo | Contramedidas |
| Explotación de instancias vulnerables de GCP | Siga las prácticas recomendadas de contraseñas y las mejores prácticas para entornos de nube de control. Actualice el software third-pary antes de que una instancia de Cloud se exponga a la web. Evita publicar credenciales en proyectos de GitHub. Utilice el análisis de contenedores para analizar vulnerabilidades y almacenar metadatos. Aproveche Web Security Scanner en el Security Command Center para identificar vulnerabilidades de seguridad en App Engine,Google Kubernetes EngineyCompute Engine. Use cuentas de servicio con Compute Engine para autenticar aplicaciones en lugar de usar credenciales de usuario. Implemente herramientas de Policy Intelligence para ayudar a comprender y administrar las políticas. Utilice las operaciones predefinidas a través de Cargas de trabajo aseguradas para reducir las pérdidas. Configure condiciones de alertas en cloud Console para enviar un alto consumo de recursos. Aplica y supervisa los requisitos de contraseña para los usuarios a través de la consola de administración |
| Spear-phishing | Participe en las mejores prácticas de correo electrónico. Emplear vericatición de 2 pasos. Inscribirse en el Programa de Protección Avanzada. Utilice Work Safer y BeyondCorp Enterprisede Google. Implementar el acceso contextual . |
| Descarga de actualizaciones de software | Establezca una cadena de custodia sólida mediante hashing y verificación de descargas. |
| Uso de repositorios de código público | Auditar proyectos publicados en GitHub y otros sitios para garantizar que no se incluyeran credenciales |
