El 50% de los contenedores mal configurados con víctimas de botnets en menos de una hora

  • Actualidad

Un estudio publicado recientemente indica que las botnets están encontrando e infectando rápidamente nuevos hosts a medida que se vuelven vulnerables y que la minería de criptomonedas sigue siendo el objetivo más común:

Recomendados: 

Seis razones para proteger Salesforce con una solución de terceros Leer

Nutanix Enterprise Cloud Index - Situación en España Leer

Aqua Security ha publicado los detalles de una investigación realizada por Team Nautilus que pone de manifiesto un incremento continuado de ciberataques que tienen como objetivo las infraestructuras de contenedores y las cadenas de suministro, y que se tarda menos de una hora en explotar una infraestructura de contenedor vulnerable.

Según el Cloud Native Threat Report: Attacks in the Wild on Container Infrastructure, los bots de los ciberdelincuentes tardan cinco horas en promedio en escanear un nuevo honeypot. El escaneo más rápido se produjo en minutos, mientras que el intervalo más largo fue de 24 horas.

Para Assaf Morag, analista principal de datos del equipo Nautilus de Aqua, se están viendo que los ataques “demuestran motivos más siniestros con un mayor impacto potencial”, y explica que la minería de criptomonedas sigue interesando y es más dirigida, “hemos visto más ataques que involucran la entrega de malware, el establecimiento de puertas traseras y el robo de datos y credenciales”.

Entre las nuevas técnicas de ataque, el Equipo Nautilus descubrió una campaña masiva dirigida a la creación automática de entornos de desarrollo SaaS. “Este no ha sido un vector de ataque común en el pasado, pero es probable que cambie en 2021 porque la implementación de herramientas de detección, prevención y seguridad diseñadas para proteger el proceso de compilación durante el flujo de CI/CD aún es limitada en la mayoría de las organizaciones”, explica Morag.

Los datos más destacados del estudio:

- Los atacantes han ampliado su uso de técnicas de evasión y ofuscación para evitar ser detectados. Estos incluyen empaquetar las cargas útiles, ejecutar malware directamente desde la memoria y usar rootkits.

- Las botnets están encontrando e infectando rápidamente nuevos hosts a medida que se vuelven vulnerables: el 50% de las nuevas API de Docker mal configuradas son atacadas por botnets dentro de los 56 minutos posteriores a su configuración.

- La minería de criptomonedas sigue siendo el objetivo más común: más del 90% de las imágenes maliciosas ejecutan el secuestro de recursos.

- Mayor uso de puertas traseras: el 40% de los ataques involucraron la creación de puertas traseras en el host; los adversarios están eliminando malware dedicado, creando nuevos usuarios con privilegios de root y creando claves SSH para acceso remoto.

- El volumen de ataques sigue creciendo: los ataques diarios crecieron un 26% en promedio entre el primer semestre y el segundo semestre de 2020.