Servidores comprometidos por el underground criminal

Conocer la infraestructura que hay detrás del cibercrimen ayuda a detectar y detener las operaciones.

Trend Micro, líder en seguridad cloud, ha publicado una investigación en la que se afirma que los servidores de las organizaciones en las instalaciones y en la nube están comprometidos, se abusa de ellos y se alquilan como parte del sofisticado ciclo de vida de monetización criminal.

Los hallazgos provienen del segundo de una serie de informes que consta de tres partes que analizan cómo funciona el mercado del hosting clandestino. Los descubrimientos muestran que la actividad del minado de criptomonedas debería ser el indicador para que los equipos de seguridad TI estén en alerta máxima.

Si bien la minería de criptomonedas puede no causar interrupciones o pérdidas financieras por sí sola, el software de minería suele utilizarse para monetizar los servidores comprometidos que están inactivos mientras los delincuentes trazan planes más grandes para ganar dinero. Estos incluyen la extracción de datos valiosos, la venta de acceso al servidor para un mayor abuso posterior, o la preparación para un ataque de ransomware dirigido. Cualquier servidor que se descubra que contenga criptomineros debe ser señalizado para su reparación e investigación inmediatas.

"Desde hosting dedicado a prueba de bombas hasta servicios de anonimato, provisión de nombres de dominio y activos legítimos comprometidos, el underground de cibercrimen cuenta con una sofisticada variedad de ofertas de infraestructura para apoyar las campañas de monetización de todo tipo", asegura Bob McArdle, director del equipo de investigación Trend Micro Forward-Looking Threat Research.

El informe enumera los principales servicios de hosting clandestino disponibles en la actualidad, proporcionando detalles técnicos de cómo funcionan y cómo los delincuentes los utilizan para llevar a cabo sus negocios. Esto incluye una descripción detallada del ciclo de vida típico de un servidor comprometido, desde el compromiso inicial hasta el ataque final.

Los servidores en la nube están particularmente expuestos a ser comprometidos y utilizados en la infraestructura del hosting clandestino, ya que pueden carecer de la protección de sus equivalentes on-premise.

McArdle destaca que: "Los activos corporativos legítimos comprometidos pueden ser infiltrados y abusados ya sea en las instalaciones o en la nube. Una buena regla general es que lo que está más expuesto tiene más probabilidades de ser explotado".

Los ciberdelincuentes pueden intentar explotar las vulnerabilidades del software del servidor,  utilizar ataques de fuerza bruta para comprometer las credenciales o robar los inicios de sesión y desplegar malware mediante ataques de phishing. Incluso pueden apuntar al software de gestión de infraestructura (claves de API en la nube), lo que les permite crear nuevas instancias de máquinas virtuales o suministrar recursos.

Una vez comprometidos, estos activos de servidor en la nube podrían venderse en foros del underground, mercados dedicados e incluso redes sociales para su uso en una variedad de ataques.