Una campaña de extorsión a gran escala ha puesto en peligro a numerosas organizaciones, explotando archivos de variables de entorno públicos (.env) que contienen credenciales críticas de aplicaciones en la nube y redes sociales.
Errores de Seguridad Aprovechados por Atacantes
«Múltiples errores de seguridad facilitaron esta campaña, incluyendo la exposición de variables de entorno, el uso de credenciales de larga duración y la falta de una arquitectura de privilegios mínimos,» informó la Unidad 42 de Palo Alto Networks.
Infraestructura de Ataque dentro de AWS
La campaña destaca por su capacidad para establecer infraestructura de ataque dentro de los entornos de Amazon Web Services (AWS) de las organizaciones comprometidas, utilizando estos entornos para escanear más de 230 millones de objetivos en busca de datos sensibles.
Con 110.000 dominios atacados, se estima que la actividad maliciosa ha capturado más de 90.000 variables únicas en archivos .env, de las cuales 7.000 están asociadas a servicios en la nube y 1.500 a cuentas de redes sociales.
Exfiltración y Extorsión de Datos
«La campaña no involucró cifrado de datos, sino exfiltración, con una nota de rescate colocada en el contenedor de almacenamiento comprometido,» añadió Unit 42. Los atacantes aprovecharon la exposición accidental de archivos .env en aplicaciones web inseguras para obtener acceso inicial.
Uso de IAM y AWS Lambda para Ampliar el Ataque
Una vez comprometido un entorno en la nube, los atacantes utilizaron claves de acceso de AWS Identity and Access Management (IAM) para crear nuevos roles y escalar privilegios. Con permisos administrativos, crearon funciones de AWS Lambda que automatizaron el escaneo de millones de dominios y direcciones IP en Internet.
Enfoque en Credenciales de Mailgun y Minería de Criptomonedas
La campaña mostró un interés particular en credenciales de Mailgun, sugiriendo un esfuerzo por enviar correos de phishing desde dominios legítimos. También hubo intentos fallidos de crear nuevos recursos de Elastic Cloud Compute (EC2) para la minería ilícita de criptomonedas.
Origen Desconocido de la Campaña
El origen de la campaña sigue siendo incierto, aunque se detectaron direcciones IP en Ucrania y Marruecos. Unit 42 señala que los atacantes probablemente utilizaron técnicas de automatización avanzadas, demostrando un alto nivel de conocimiento en arquitectura en la nube.
Recomendaciones de Seguridad para Mitigar el Riesgo
Ante la creciente amenaza de ataques que explotan archivos .env públicos, es crucial que las organizaciones implementen medidas de seguridad robustas. Aquí algunas recomendaciones clave:
- Evitar la Exposición de Archivos .env: Asegúrate de que los archivos .env no sean accesibles públicamente en aplicaciones web. Configura adecuadamente las reglas de acceso en tu servidor para proteger estos archivos.
- Utilizar Credenciales de Corto Plazo: Implementa el uso de credenciales temporales en lugar de las de larga duración. Esto reduce el riesgo en caso de que las credenciales sean expuestas.
- Aplicar el Principio de Privilegios Mínimos: Configura los permisos de acceso siguiendo el principio de privilegios mínimos. Solo concede los permisos necesarios para que cada función cumpla su propósito.
- Monitorear y Auditar Accesos: Implementa un monitoreo continuo y auditorías regulares para detectar accesos inusuales o no autorizados a los archivos de configuración.
- Configurar Alertas de Seguridad en la Nube: Configura alertas en tus servicios en la nube para recibir notificaciones instantáneas sobre actividades sospechosas, como la creación de nuevos roles o recursos en AWS.
En fin, la campaña de extorsión que ha explotado archivos .env públicos resalta la necesidad de adoptar prácticas de seguridad más estrictas, especialmente en entornos de nube. Las organizaciones deben estar alertas y proactivas en la protección de sus credenciales y recursos digitales. Implementar las mejores prácticas de seguridad no solo mitiga el riesgo de ataques, sino que también fortalece la postura de seguridad global de la organización en un entorno cada vez más amenazante.
Fuente: The Hacker News