Imagina que los ciberdelincuentes no necesitan crear malware sofisticado ni buscar vulnerabilidades ocultas. ¿Qué pasaría si, en lugar de eso, pudieran utilizar las mismas herramientas que tu empresa usa a diario? Eso es exactamente lo que están haciendo los grupos de ransomware, y su nuevo objetivo es nada menos que Microsoft Azure. Estas bandas han descubierto cómo aprovechar herramientas legítimas de la nube, como Azure Storage Explorer y AzCopy de Microsoft, para robar datos de manera silenciosa y prácticamente indetectable. ¿El resultado? Un robo masivo de información sin disparar las alarmas de seguridad tradicionales. ¿Estás preparado para enfrentar esta nueva táctica?
Los grupos de ransomware, como BianLian y Rhysida, están usando con más frecuencia herramientas como Azure Storage Explorer y AzCopy de Microsoft para robar datos de redes comprometidas y guardarlos en el almacenamiento de blobs de Azure.
Storage Explorer es una herramienta con interfaz gráfica que facilita la gestión de Azure, mientras que AzCopy es una herramienta de línea de comandos diseñada para mover grandes cantidades de datos hacia y desde el almacenamiento en la nube de Azure. Según informes, en los ataques que han observado, los datos robados se guardan en un contenedor Azure Blob, desde donde los atacantes pueden transferirlos fácilmente a su propio almacenamiento.
Los investigadores se dieron cuenta de que los atacantes tuvieron que hacer un esfuerzo extra para que Azure Storage Explorer funcionara correctamente, como instalar dependencias adicionales y actualizar .NET a la versión 8. Esto muestra cómo los ciberdelincuentes están cada vez más enfocados en el robo de datos como parte clave de sus ataques de ransomware, ya que es una herramienta fundamental en la siguiente fase de extorsión.
Te podrá interesar leer: Doble Extorsión en Ransomware: Estrategias de Ataque
Aunque cada grupo de ransomware tiene sus propias herramientas para robar datos, muchos utilizan Rclone para sincronizar archivos con varios servicios en la nube y MEGAsync para transferir archivos a la nube de MEGA.
Azure, por su parte, es una opción atractiva porque es un servicio confiable que muchas empresas ya utilizan, lo que significa que es menos probable que los cortafuegos o las soluciones de seguridad corporativa lo bloqueen. Esto permite que las transferencias de datos se realicen sin levantar sospechas.
Además, la escalabilidad y el alto rendimiento de Azure, que le permiten gestionar grandes cantidades de datos no estructurados, son perfectos para los ciberdelincuentes que buscan mover grandes volúmenes de información rápidamente. Se ha observado que los atacantes usan varias instancias de Azure Storage Explorer al mismo tiempo para cargar archivos en contenedores de blobs, acelerando el proceso todo lo posible.
Los investigadores descubrieron que los ciberdelincuentes habilitaron el registro predeterminado en nivel "Información" al usar Storage Explorer y AzCopy, lo que genera un archivo de registro en la ruta %userprofile%\.azcopy.
Este archivo de registro es especialmente valioso para los equipos de respuesta a incidentes, ya que proporciona detalles sobre las operaciones de archivos. Esto permite a los investigadores identificar rápidamente qué datos fueron robados (indicado por "carga exitosa") y si se introdujeron otras cargas útiles o datos (marcado como "descarga exitosa").
Para defenderse de estos ataques, se recomienda monitorear la ejecución de AzCopy, revisar el tráfico de red saliente hacia los puntos de almacenamiento de Azure Blob con dominios como .blob.core.windows.net o rangos de IP asociados a Azure. También es crucial configurar alertas para detectar cualquier comportamiento anormal en la copia o acceso a archivos en servidores clave.
Podría interesarte leer: Wazuh en Entornos de Azure
Aunque esta nueva táctica puede parecer alarmante, hay varias medidas que las organizaciones pueden tomar para reducir el riesgo de sufrir un ataque de este tipo. Aquí destacamos algunas prácticas de seguridad que pueden ayudar a protegerse contra el abuso de herramientas legítimas de Azure.
Monitoreo y análisis del comportamiento en la nube: Las empresas deben implementar herramientas de seguridad avanzadas que no solo detecten malware, sino que también puedan analizar el comportamiento inusual en la nube. Monitorear cómo se utilizan las herramientas dentro de plataformas como Azure es esencial. Si una herramienta de automatización de repente comienza a acceder a grandes volúmenes de datos sensibles, esto debería activar una alerta de seguridad.
Autenticación multifactor (MFA): El uso de la autenticación multifactor (MFA) añade una capa adicional de seguridad. Aunque los ciberdelincuentes consigan robar credenciales, MFA les dificulta el acceso, ya que requiere al menos dos formas de verificación. Esto reduce significativamente la posibilidad de que accedan a las herramientas de Azure sin autorización.
Auditorías y registros de seguridad continuos: Las auditorías regulares de las actividades en la nube son esenciales para detectar anomalías. Revisar los registros de seguridad con frecuencia puede ayudar a identificar actividades sospechosas antes de que se produzcan daños importantes. Monitorear y auditar los logs en busca de accesos o movimientos de datos inusuales puede ser clave para detener ataques antes de que se completen.
Segmentación de la red: Dividir la infraestructura en diferentes "segmentos" ayuda a limitar el impacto de una intrusión. Incluso si los atacantes logran infiltrarse en una parte de la red, la segmentación dificulta el acceso a otras áreas críticas, reduciendo la cantidad de datos que pueden robar.
Copias de seguridad y recuperación: Implementar una solución robusta de copias de seguridad es esencial para reducir el daño en caso de un ataque de ransomware. TecnetProtect, una solución de ciberseguridad y backups, permite a las empresas realizar copias de seguridad automáticas y encriptadas de sus datos críticos. Además de ofrecer restauración rápida en caso de pérdida de datos, TecnetProtect garantiza que las copias estén a salvo de manipulaciones externas, proporcionando una capa adicional de seguridad ante posibles ataques. Contar con un sistema de backup confiable puede marcar la diferencia entre una recuperación rápida y la pérdida total de información valiosa.
Al combinar estas buenas prácticas con herramientas como TecnetProtect, las empresas pueden estar mejor preparadas para prevenir, detectar y responder a ataques de ransomware, protegiendo tanto sus datos como su infraestructura.
Además, si ya se usa Azure en tu empresa, es recomendable habilitar la opción de "Cerrar sesión al salir" en Storage Explorer. Esto ayuda a prevenir que los atacantes aprovechen sesiones activas para robar archivos sin ser detectados.