Los operadores de malware están recurriendo a servicios legítimos en la nube para realizar campañas maliciosas, según la firma de ciberseguridad Fortinet. En un nuevo informe, FortiGuard Labs, el equipo de investigación de Fortinet, compartió hallazgos sobre cómo los actores de amenazas están abusando de los servicios en la nube para mejorar las capacidades maliciosas de su malware. FortiGuard Labs dijo: “El uso de servidores en la nube para operaciones de comando y control (C2) garantiza una comunicación persistente con los dispositivos comprometidos, lo que dificulta que los defensores interrumpan un ataque. Este cambio a operaciones basadas en la nube marca una evolución significativa en el panorama de amenazas”. Se pueden ver ejemplos de esta estrategia con troyanos de acceso remoto (RAT) como VCRUMS almacenados en Amazon Web Services (AWS) o criptográficos como SYK Crypter distribuidos a través de DriveHQ. «También hemos observado a un actor de amenazas que explota múltiples vulnerabilidades para atacar los servidores web JAWS, los enrutadores domésticos Dasan GPON, los enrutadores Huawei HG532, TP-Link Archer AX21 e Ivanti Connect Secure para amplificar sus ataques», escribieron los investigadores de FortiGuard Labs. Nueva cepa de malware observada En el informe, FortiGuard Labs mencionó tres cepas de malware que actualmente explotan los servicios en la nube para amplificar su impacto. Los investigadores de seguridad descubrieron una nueva cepa de malware, llamada ‘Skibidi’, que explota dos vulnerabilidades en el enrutador Wi-Fi TP-Link Archer AX21 (CVE-2023-1389) y los productos Ivanti Connect Secure (CVE-2024-21887). A continuación, FortiGuard Labs analizó dos botnets, Condi e Unstable. El primero apunta a la misma vulnerabilidad de TP-Link Arche para implementar ataques de denegación de servicio distribuido (DDoS). Este último, una variante de la infame botnet Mirai, ataca tres antiguas vulnerabilidades en el servidor web JAWS (CVE-2016-20016, CVE-2018-10561/10562 y CVE-2017-17215) con el mismo propósito. Los operadores de estas tres cepas de malware dependen de servidores C2 en la nube y/o aprovechan los operadores de servicios informáticos y de almacenamiento en la nube para distribuir sus cargas útiles y actualizaciones a una amplia gama de dispositivos. “La flexibilidad y eficiencia inherentes a los servicios en la nube han proporcionado, sin saberlo, a los ciberdelincuentes un nuevo ámbito para sus actividades. […] Las organizaciones deben reforzar sus defensas de seguridad en la nube a medida que las botnets y las herramientas DDoS continúan aprovechando los servicios en la nube. «La implementación de un enfoque de seguridad de múltiples capas, que incluya parches periódicos, actualizaciones y segmentación de la red, es esencial para aislar los activos críticos y mitigar posibles infracciones», concluyeron los investigadores de seguridad. Leer más: Investigadores descubren un gran aumento en la actividad global de botnets