{"id":1321118,"date":"2024-08-16T18:44:19","date_gmt":"2024-08-16T18:44:19","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-atacantes-explotan-archivos-env-publicos-para-vulnerar-cuentas-de-redes-sociales-y-de-la-nube\/"},"modified":"2024-08-16T18:44:24","modified_gmt":"2024-08-16T18:44:24","slug":"los-atacantes-explotan-archivos-env-publicos-para-vulnerar-cuentas-de-redes-sociales-y-de-la-nube","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-atacantes-explotan-archivos-env-publicos-para-vulnerar-cuentas-de-redes-sociales-y-de-la-nube\/","title":{"rendered":"Los atacantes explotan archivos .env p\u00fablicos para vulnerar cuentas de redes sociales y de la nube"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad en la nube \/ Seguridad de aplicaciones<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-atacantes-explotan-archivos-env-publicos-para-vulnerar-cuentas-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Una campa\u00f1a de extorsi\u00f3n a gran escala ha comprometido a varias organizaciones aprovech\u00e1ndose de archivos de variables de entorno de acceso p\u00fablico (.env) que contienen credenciales asociadas a aplicaciones de redes sociales y en la nube.<\/p>\n<p>&#8220;Durante esta campa\u00f1a se cometieron m\u00faltiples errores de seguridad, entre ellos: exposici\u00f3n de variables de entorno, uso de credenciales de larga duraci\u00f3n y ausencia de una arquitectura de privilegios m\u00ednimos&#8221;, Palo Alto Networks Unit 42 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/large-scale-cloud-extortion-operation\/\" target=\"_blank\">dicho<\/a> en un informe del jueves.<\/p>\n<p>La campa\u00f1a se destaca por establecer su infraestructura de ataque dentro de los entornos de Amazon Web Services (AWS) de las organizaciones infectadas y usarlos como plataforma de lanzamiento para escanear m\u00e1s de 230 millones de objetivos \u00fanicos en busca de datos confidenciales.<\/p>\n<p>Con 110.000 dominios atacados, se dice que la actividad maliciosa ha capturado m\u00e1s de 90.000 variables \u00fanicas en los archivos .env, de las cuales 7.000 pertenec\u00edan a servicios en la nube de organizaciones y 1.500 variables est\u00e1n vinculadas a cuentas de redes sociales.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-a-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Nuevas-fallas-en-los-altavoces-inteligentes-Sonos-permiten-a-los.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;La campa\u00f1a consisti\u00f3 en que los atacantes consiguieron obtener un rescate de los datos alojados en contenedores de almacenamiento en la nube&#8221;, dijo Unit 42. &#8220;El evento no incluy\u00f3 a los atacantes que cifraran los datos antes del rescate, sino que extrajeron los datos y colocaron la nota de rescate en el contenedor de almacenamiento en la nube comprometido&#8221;.<\/p>\n<p>El aspecto m\u00e1s sorprendente de los ataques es que no se basan en vulnerabilidades de seguridad o configuraciones err\u00f3neas en los servicios de los proveedores de la nube, sino que surgen de la exposici\u00f3n accidental de archivos .env en aplicaciones web no seguras para obtener acceso inicial.<\/p>\n<p>Una violaci\u00f3n exitosa de un entorno de nube allana el camino para pasos de descubrimiento y reconocimiento exhaustivos con el objetivo de ampliar su presencia, y los actores de amenazas utilizan las claves de acceso de AWS Identity and Access Management (IAM) para crear nuevos roles y aumentar sus privilegios.<\/p>\n<p>Luego, el nuevo rol de IAM con permisos administrativos se utiliza para crear nuevas funciones de AWS Lambda para iniciar una operaci\u00f3n de escaneo automatizada en Internet que contiene millones de dominios y direcciones IP.<\/p>\n<p>&#8220;El script recuper\u00f3 una lista de objetivos potenciales de un bucket S3 de terceros de acceso p\u00fablico explotado por el actor de amenazas&#8221;, dijeron los investigadores de la Unidad 42 Margaret Zimmermann, Sean Johnstone, William Gamazo y Nathaniel Quist.<\/p>\n<p>&#8220;La lista de objetivos potenciales sobre los que iter\u00f3 la funci\u00f3n lambda maliciosa conten\u00eda un registro de dominios de v\u00edctimas. Para cada dominio de la lista, el c\u00f3digo realiz\u00f3 una solicitud cURL, dirigida a cualquier archivo de variable de entorno expuesto en ese dominio (es decir, https:\/\/<target>\/.env).&#8221;<\/target><\/p>\n<p>Si el dominio de destino aloja un archivo de entorno expuesto, las credenciales de texto sin formato contenidas en el archivo se extraen y almacenan en una carpeta reci\u00e9n creada dentro de otro dep\u00f3sito p\u00fablico de AWS S3 controlado por un actor de amenazas. Desde entonces, AWS ha dado de baja el dep\u00f3sito.<\/p>\n<p>Se descubri\u00f3 que la campa\u00f1a de ataque selecciona espec\u00edficamente instancias en las que los archivos .env contienen credenciales de Mailgun, lo que indica un esfuerzo por parte del adversario para aprovecharlos para enviar correos electr\u00f3nicos de phishing desde dominios leg\u00edtimos y eludir las protecciones de seguridad.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1723190360_817_El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La cadena de infecci\u00f3n termina cuando el actor de amenazas exfiltra y elimina datos confidenciales del dep\u00f3sito S3 de la v\u00edctima y carga una nota de rescate que los insta a contactarse y pagar un rescate para evitar vender la informaci\u00f3n en la web oscura.<\/p>\n<p>Las motivaciones financieras del ataque tambi\u00e9n son evidentes en los intentos fallidos del actor de la amenaza de crear nuevos recursos Elastic Cloud Compute (EC2) para la miner\u00eda il\u00edcita de criptomonedas.<\/p>\n<p>Actualmente no est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s de la campa\u00f1a, en parte debido al uso de VPN y la red TOR para ocultar su verdadero origen, aunque Unit 42 dijo que detect\u00f3 dos direcciones IP que fueron geolocalizadas en Ucrania y Marruecos como parte de la funci\u00f3n lambda y las actividades de exfiltraci\u00f3n de S3, respectivamente.<\/p>\n<p>&#8220;Los atacantes detr\u00e1s de esta campa\u00f1a probablemente aprovecharon t\u00e9cnicas de automatizaci\u00f3n extensivas para operar con \u00e9xito y rapidez&#8221;, dijeron los investigadores. &#8220;Esto indica que estos grupos de actores de amenazas son expertos y tienen conocimientos en t\u00e9cnicas y procesos de arquitectura de nube avanzados&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/attackers-exploit-public-env-files-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 de agosto de 2024\ue804Ravie LakshmananSeguridad en la nube \/ Seguridad de aplicaciones Una campa\u00f1a de extorsi\u00f3n a<\/p>\n","protected":false},"author":1,"featured_media":1321119,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[248514,4657,4656,1497,18041,4661,4664,5017,8513,4667,36,239182,4654,239508,4658,4659,4653,10650,18,5846,253,246983,4665,246984,254,246982,239484,248515],"class_list":["post-1321118","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-env","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-archivos","tag-atacantes","tag-ataques-ciberneticos","tag-como-hackear","tag-cuentas","tag-explotan","tag-las-noticias-de-los-hackers","tag-los","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-nube","tag-para","tag-publicos","tag-redes","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sociales","tag-violacion-de-datos","tag-vulnerabilidad-del-software","tag-vulnerar"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1321118","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1321118"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1321118\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1321119"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1321118"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1321118"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1321118"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}