
El último informe de amenaza de nube de Palo Alto Networks Unit 42 encontró que los datos confidenciales se encuentran en el 66% de los cubos de almacenamiento en la nube. Estos datos son vulnerables a los ataques de ransomware. El Instituto Sans reportado recientemente que estos ataques se pueden realizar abusando de los controles de seguridad de almacenamiento del proveedor de la nube y la configuración predeterminada.
“En los últimos meses, he sido testigo de dos métodos diferentes para ejecutar un ataque de ransomware usando nada más que características legítimas de seguridad en la nube”, advierte Brandon Evans, consultor de seguridad e instructor certificado SANS. Halcyon reveló una campaña de ataque que aprovechó uno de los mecanismos de cifrado nativos de Amazon S3, SSE-C, para cifrar cada uno de los cubos objetivo. Unos meses antes, el consultor de seguridad Chris Farris demostró cómo los atacantes podrían realizar un ataque similar utilizando una característica de seguridad de AWS diferente, las teclas KMS con material de clave externo, utilizando scripts simples generados por ChatGPT. “Claramente, este tema es lo más importante tanto para los actores de amenazas como para los investigadores”, señala Brandon.
Para abordar el ransomware en la nube, Sans recomienda organizaciones para:
- Comprender el poder y las limitaciones de los controles de seguridad en la nube: El uso de la nube no hace que sus datos sean seguros automáticamente. “Los primeros servicios en la nube que la mayoría de las personas usan son soluciones de respaldo de archivos como OneDrive, Dropbox, iCloud y otros”, explica Brandon. “Si bien estos servicios generalmente tienen capacidades de recuperación de archivos habilitadas de forma predeterminada, este no es el caso de Amazon S3, Azure Storage o Google Cloud Storage. Es fundamental para los profesionales de seguridad comprender cómo funcionan estos servicios y no asumir que la nube los guardará”.
- Bloquear métodos de cifrado de nubes no compatibles: Se pueden abusar de AWS S3 SSE-C, AWS KMS Key Key y técnicas de cifrado similares porque el atacante tiene control total sobre las claves. Las organizaciones pueden usar políticas de gestión de identidad y acceso (IAM) para exigir el método de cifrado utilizado por S3, como SSE-KMS utilizando material clave alojado en AWS.
- Habilitar copias de seguridad, versiones de objetos y bloqueo de objetos: Estos son algunos de los controles de integridad y disponibilidad para el almacenamiento en la nube. Ninguno de ellos está habilitado de forma predeterminada para ninguno de los 3 proveedores de la nube Big 3. Si se usa correctamente, pueden aumentar las posibilidades de que una organización pueda recuperar sus datos después de un ataque de ransomware.
- Equilibrar la seguridad y el costo con las políticas de ciclo de vida de datos: Estas características de seguridad cuestan dinero. “Los proveedores de la nube no van a alojar sus versiones o copias de seguridad de datos de forma gratuita. Al mismo tiempo, su organización no le dará una verificación en blanco para la seguridad de los datos”, dice Brandon. Cada uno de los 3 proveedores de la nube Big 3 permite a los clientes definir una política de ciclo de vida. Estas políticas permiten a las organizaciones eliminar automáticamente objetos, versiones y copias de seguridad cuando ya no se consideran necesarias. Sin embargo, tenga en cuenta que los atacantes también pueden aprovechar las políticas del ciclo de vida. Se usaron en la campaña de ataque mencionada anteriormente para instar al objetivo a pagar el rescate rápidamente.
Para obtener más información, mire la transmisión web de Brandon, “La nube no lo salvará de Ransomware: esto es lo que Will”, visitando https://www.sans.org/webcasts/cloud-wont-save-you-from-ransomware–what-will/
¿Interesado en tácticas adicionales para mitigar los ataques en los 3 proveedores de la nube Big 3? Mira el curso de Brandon, Sec510: Controles y mitigaciones de seguridad en la nube en Sans 2025 en Orlando o en vivo en línea este abril. Este curso también está disponible con Brandon más adelante en el año en Baltimore, MD en junio o Washington, DC en julio.


