Mineros de criptomoneda amenazan los servidores virtuales de GCP

¿Qué contiene el informe de Google sobre los ataques típicos contra los sistemas de nube en Google Cloud Platform?

A finales de 2021, Google publicó su primer informe sobre amenazas típicas a los usuarios de nubes, el cual se enfoca en la seguridad de Google Cloud Platform. El servicio ofrece a los clientes corporativos varias situaciones para desarrollar sistemas de nube, que van desde solo alojar y ejecutar aplicaciones individuales hasta implementar computación de alto rendimiento.

Motivos para atacar las instancias de Google Cloud Platform

El informe se centra en las causas y las consecuencias de los ataques a las instancias personalizadas de GCP; se analizan 50 ataques exitosos recientes a los servidores personalizados o a las aplicaciones. De los casos que Google analizó, 48% fueron resultado de una contraseña débil (o la falta de esta) para cuentas basadas en el servidor. En 26% de los casos, los cibercriminales utilizaron una vulnerabilidad en el software del servidor en nube. La mala configuración del servidor o de la aplicación habilitaron el 12%, y solo 4% fueron resultado de la filtración de una contraseña o clave de acceso.

La última categoría incluye un error común de los desarrolladores: cargar datos de autenticación junto con el código fuente a un repositorio público en GitHub o un servicio similar. De acuerdo con un informe de GitGuardian, hasta 5,000 “secretos” (claves API, pares de contraseña/nombre de usuario, certificados) se cargan en GitHub todos los días, y en 2020 hubo 2 millones de filtraciones.

Vulnerabilidades que dejan los servidores predispuestos al hackeo, de acuerdo con Google. Contraseñas débiles o ausentes habilitaron la mayoría de los ataques. <a href="https://services.google.com/fh/files/misc/gcat_threathorizons_full_nov2021.pdf" target="_blank">Fuente</a>.

Vulnerabilidades que dejan los servidores predispuestos al hackeo, de acuerdo con Google. Contraseñas débiles o ausentes habilitaron la mayoría de los ataques. Fuente.

Google señala que los cibercriminales tienden a no atacar a empresas específicas, en su lugar, escanean con regularidad el rango completo de direcciones IP que pertenecen a Google Cloud Platform en busca de instancias vulnerables. La implicación de esta automatización es clara: Si un servidor sin protección está accesible desde el Internet, lo más seguro es que será hackeado, y probablemente sea pronto (en varios casos, el ataque comenzó 30 minutos después de plantear una nueva instancia). El tiempo entre el hackeo y el inicio de la actividad maliciosa es mucho más corto; la mayoría de los servidores atacados se ponen en operación ilegal en medio minuto.

Por qué los atacantes eligen instancias de Google Cloud Platform

¿Qué hacen los cibercriminales con los recursos de la nube después de hackearlos? En la mayoría de los casos (86%), un minero de criptomonedas (un programa que utiliza los recursos de otros para generar criptomoneda) se instaló en el servidor. En su mayor parte, estos son recursos CPU/GPU, pero el informe también menciona la minería de la criptomoneda Chia, en la que se explota el espacio libre del disco. En otro 10% de los casos, los servidores comprometidos se utilizaron para el escaneo de puertos, para buscar víctimas nuevas. En 8% de los casos, el ataque a otros recursos de la red se hizo desde el servidor. Otros tipos más raros de actividades ilegales que involucran servidores de plataforma de nube secuestrados incluyen: alojar malware, contenido prohibido, o ambos, realizar ataques DDoS y distribuir spam.

Tipos de actividad maliciosa en servidores de nube hackeados. En algunos casos, varios tipos de operaciones ilegales se realizaron al mismo tiempo. <a href="https://services.google.com/fh/files/misc/gcat_threathorizons_full_nov2021.pdf" target="_blank">Fuente</a>.

Tipos de actividad maliciosa en servidores de nube hackeados. En algunos casos, varios tipos de operaciones ilegales se realizaron al mismo tiempo. Fuente.

Si alguien hackea un servicio de nube e instala un minero de criptomoneda, sus acciones no solo dañan la reputación del cliente y ponen en riesgo el acceso a su propia aplicación o sitio web, sino que las víctimas podrían enfrentarse a facturas exorbitantes, incluso por solo unas horas de actividad.

Recomendaciones para proteger las instancias de GCP

En la mayoría de los casos estudiados por Google, los usuarios podrían haberse evitado la molestia si seguían requisitos de seguridad mínimos: emplear contraseñas seguras y factores adicionales de autorización, asegurar la debida diligencia al cargar el código fuente, y actualizar de manera regular el software instalado para reparar las vulnerabilidades conocidas.

En general, los sistemas de nube requieren las mismas medidas de protección que cualquier otro tipo de infraestructura. Necesitan, como mínimo, auditorías regulares, monitoreo de actividad sospechosa, y aislamiento de datos críticos.

Pero implementar infraestructura en servicios de nube públicos implica algunas recomendaciones adicionales, y no solo para organizaciones que utilizan Google Cloud Platform. Una de las principales, como Google señala, es configurar alertas condicionales automáticas para determinar cuando el consumo de recursos excede ciertos umbrales o para detectar un aumento rápido en los costos.

Consejos