Los atacantes están encontrando nuevas formas de atacar los entornos nativos de la nube, según Nautilus. Se trata del equipo de investigación de amenazas del proveedor de seguridad nativo de la nube, Aqua Security. Revelan la evolución de los ciberataques en entornos nativos de la nube.
La investigación más reciente del equipo muestra que los adversarios están adoptando técnicas más sofisticadas. Se aprovechan de múltiples componentes de ataque y cambian la atención a Kubernetes y la cadena de suministro de software. El «Informe de amenazas nativas de la nube de 2022: Seguimiento de la cadena de suministro de software y ataques y técnicas de Kubernetes» proporciona información sobre las tendencias y conclusiones clave para los profesionales sobre el panorama de las amenazas nativas en la nube.
El estudio reveló que los adversarios se están involucrando con nuevas tácticas, técnicas y procedimientos (TTP). Con ellas apuntan específicamente a los entornos nativos cloud. Si bien los criptomineros fueron el malware más común observado, con una frecuencia cada vez mayor, el equipo vio un mayor uso de puertas traseras. También rootkits y ladrones de credenciales. Esto es una señal de que los intrusos tienen más que criptomonedas en sus planes.
Revelan la evolución de los ciberataques en entornos nativos de la nube
Las puertas traseras, que permiten a un actor de amenazas acceder a un sistema de forma remota y se usan para establecer la persistencia en el entorno comprometido, se encontraron en el 54% de los ataques. Además, la mitad de las imágenes de contenedores maliciosos (51%) analizadas por los investigadores contenían gusanos. Esto permite a los atacantes aumentar el alcance de su ataque con un mínimo esfuerzo (un 10% más que en 2020).
En particular, los actores de amenazas también ampliaron sus objetivos para incluir entornos de CI/CD y Kubernetes. En 2021 el 19% de las imágenes de contenedores maliciosos analizadas se dirigieron a Kubernetes. Esto incluye kubelets y servidores de API, un 9% más que el año anterior.
Assaf Morag, jefe de análisis de datos e inteligencia de amenazas del equipo Nautilus Aqua dijo lo siguiente. «Estos hallazgos subrayan la realidad de que los entornos nativos de la nube ahora representan un objetivo para los atacantes. También que las técnicas siempre están evolucionando».
«La amplia superficie de ataque de un clúster de Kubernetes es atractiva para los actores de amenazas. Después, una vez que están dentro, buscan frutos al alcance de la mano».
Otros hallazgos
La proporción y la variedad de ataques observados dirigidos a Kubernetes ha aumentado. Esto incluye una adopción más amplia del uso de armas de las herramientas de interfaz de usuario de Kubernetes.
- Los ataques a la cadena de suministro representan el 14,3% de la muestra particular de imágenes de las bibliotecas de imágenes públicas. Esto demuestra que estos ataques siguen siendo un método eficaz para atacar entornos nativos de la nube.
- La vulnerabilidad de día cero de Log4j se explotó inmediatamente. El equipo detectó múltiples técnicas maliciosas. Esto incluye malware conocido, ejecución de archivos., ejecuciones de shell inverso y más.
- Los investigadores observaron ataques honeypot por parte de TeamTNT después de que el grupo anunciase su retiro en diciembre de 2021. Sin embargo, no se han utilizado nuevas tácticas, por lo que no está claro si el grupo aún está en funcionamiento o si los ataques en curso se originaron en la infraestructura de ataque automatizado.
«La conclusión clave de este informe es que los atacantes son muy activos, más que nunca. Con mayor frecuencia apuntan a vulnerabilidades en las aplicaciones, el código abierto y la tecnología en la nube».