Error de configuración en AWS comprometió 110,000 dominios

Palo Alto Networks descubrió una campaña de extorsión a gran escala que afectó a más de 100,000 dominios. Los atacantes utilizaron archivos ENV mal configurados en AWS para acceder a datos en almacenamiento en la nube y exigir un rescate por ellos.

El ataque se caracterizó por un alto grado de automatización y un profundo conocimiento de la arquitectura en la nube. Los principales errores de los usuarios de servicios en la nube que permitieron comprometer los datos incluyen: la falta de protección de las variables de entorno, el uso de credenciales permanentes y la falta de medidas para limitar los privilegios.

Al explotar las vulnerabilidades descubiertas, los atacantes accedieron a los almacenes de datos en la nube de las víctimas y exigieron dinero colocando notas de rescate en los almacenes comprometidos. Los datos no fueron cifrados, sino simplemente extraídos, lo que permitió a los extorsionadores chantajear a las víctimas con la amenaza de divulgar la información.

El ataque se desplegó en las plataformas de nube de Amazon Web Services (AWS), donde los atacantes configuraron su infraestructura, escaneando más de 230 millones de objetivos únicos en busca de información confidencial. Para evadir los sistemas de seguridad, los atacantes utilizaron la red Tor, VPN y VPS.

Como resultado del ataque, 110,000 dominios fueron afectados y se encontraron más de 90,000 variables únicas en archivos .env. De ellas, 7,000 estaban relacionadas con servicios en la nube y 1,500 con cuentas en redes sociales.

Un papel clave en el éxito del ataque lo jugaron los errores de configuración dentro de las organizaciones afectadas, que accidentalmente hicieron que los archivos .env fueran de acceso público. Los archivos ENV a menudo contienen claves de acceso y otros datos secretos, lo que permitió a los atacantes obtener acceso inicial y elevar sus privilegios en los entornos en la nube de las víctimas.

El análisis del ataque realizado mostró que los atacantes recopilaban información sobre el entorno y los servicios de AWS a través de solicitudes API, incluidas las de IAM, S3 y SES, para expandir su influencia sobre las infraestructuras en la nube de las víctimas. También intentaron elevar sus privilegios creando nuevos roles de IAM con acceso ilimitado.

Se recomienda a las organizaciones que deseen proteger sus entornos en la nube, seguir los principios de privilegios mínimos, utilizar credenciales temporales e implementar todos los registros de eventos posibles para garantizar la supervisión y detección de actividades sospechosas. Habilitar mecanismos de seguridad avanzados de Amazon, como GuardDuty y CloudTrail, también puede mejorar significativamente el nivel de protección de los recursos en la nube.