Descubren servidores tanto on-premise como cloud comprometidos por el underground criminal

8 septiembre, 2020
5 Compartido 1,322 Visualizaciones

Conocer la infraestructura que hay detrás del cibercrimen ayuda a detectar y detener las operaciones

Trend Micro Incorporated (TYO: 4704; TSE: 4704) ha publicado una investigación en la que se afirma que los servidores de las organizaciones en las instalaciones y en la nube están comprometidos, se abusa de ellos y se alquilan como parte del sofisticado ciclo de vida de monetización criminal.

Los hallazgos provienen del segundo de una serie de informes que consta de tres partes que analizan cómo funciona el mercado del hosting clandestino. Los descubrimientos muestran que la actividad del minado de criptomonedas debería ser el indicador para que los equipos de seguridad TI estén en alerta máxima.

Si bien la minería de criptomonedas puede no causar interrupciones o pérdidas financieras por sí sola, el software de minería suele utilizarse para monetizar los servidores comprometidos que están inactivos mientras los delincuentes trazan planes más grandes para ganar dinero. Estos incluyen la extracción de datos valiosos, la venta de acceso al servidor para un mayor abuso posterior, o la preparación para un ataque de ransomware dirigido. Cualquier servidor que se descubra que contenga criptomineros debe ser señalizado para su reparación e investigación inmediatas.

«Desde hosting dedicado a prueba de bombas hasta servicios de anonimato, provisión de nombres de dominio y activos legítimos comprometidos, el underground de cibercrimen cuenta con una sofisticada variedad de ofertas de infraestructura para apoyar las campañas de monetización de todo tipo», asegura Bob McArdle, director del equipo de investigación Trend Micro Forward-Looking Threat Research. «Nuestro objetivo es aumentar la concienciación y la comprensión de la infraestructura de los cibercriminales para ayudar a los organismos encargados de la aplicación de la ley, los clientes y otros investigadores a bloquear las vías del ciberdelito y aumentar los costes para los responsables de las amenazas».

El informe enumera los principales servicios de hosting clandestino disponibles en la actualidad, proporcionando detalles técnicos de cómo funcionan y cómo los delincuentes los utilizan para llevar a cabo sus negocios. Esto incluye una descripción detallada del ciclo de vida típico de un servidor comprometido, desde el compromiso inicial hasta el ataque final.

Los servidores en la nube están particularmente expuestos a ser comprometidos y utilizados en la infraestructura del hosting clandestino, ya que pueden carecer de la protección de sus equivalentes on-premise.   

McArdle destaca que: “Los activos corporativos legítimos comprometidos pueden ser infiltrados y abusados ya sea en las instalaciones o en la nube. Una buena regla general es que lo que está más expuesto tiene más probabilidades de ser explotado».

Los ciberdelincuentes pueden intentar explotar las vulnerabilidades del software del servidor,  utilizar ataques de fuerza bruta para comprometer las credenciales o robar los inicios de sesión y desplegar malware mediante ataques de phishing. Incluso pueden apuntar al software de gestión de infraestructura (claves de API en la nube), lo que les permite crear nuevas instancias de máquinas virtuales o suministrar recursos.

Una vez comprometidos, estos activos de servidor en la nube podrían venderse en foros del underground, mercados dedicados e incluso redes sociales para su uso en una variedad de ataques.

La investigación también abarca las nuevas tendencias para los servicios de infraestructura underground, incluido el abuso de los servicios de telefonía e infraestructura de satélites, y la computación «parasitaria» de alquiler, incluidos el RDP y el VNC ocultos.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Google Cloud Next Londres: Trabajando con las empresas de EMEA para ayudarlas a hacer más en la nube
Actualidad
32 compartido1,353 visualizaciones
Actualidad
32 compartido1,353 visualizaciones

Google Cloud Next Londres: Trabajando con las empresas de EMEA para ayudarlas a hacer más en la nube

Vicente Ramírez - 11 octubre, 2018

Esta semana se celebra Londres Google Cloud Next, el mayor evento de desarrolladores de Google que a su vez también…

El troyano bancario RTM sigue atacando a empresas, afectando en 2018 a más de 130.000 usuarios
Actualidad
21 compartido2,158 visualizaciones
Actualidad
21 compartido2,158 visualizaciones

El troyano bancario RTM sigue atacando a empresas, afectando en 2018 a más de 130.000 usuarios

Vicente Ramírez - 6 marzo, 2019

Los analistas de Kaspersky Lab detectaron un aumento en la actividad del troyano bancario RTM, cuyo número total de usuarios…

¿Samsung Galaxy S7 podría hackearse con Meltdown?
Security Breaches
11 compartido2,363 visualizaciones1
Security Breaches
11 compartido2,363 visualizaciones1

¿Samsung Galaxy S7 podría hackearse con Meltdown?

Samuel Rodríguez - 16 agosto, 2018

Samsung Galaxy S7 puede ser hackeada con Meltdown. Existe la posibilidad firme de que otros terminales de otras marcas también…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.