A medida que evoluciona el acceso a los datos y la información, los ciberdelincuentes también cambian sus técnicas y objetivos. Hoy en día los usuarios y las empresas confían en los dispositivos de almacenamiento conectado a la red (NAS) para guardar y respaldar sus archivos, así como garantizar la conectividad continua del flujo de trabajo para las empresas y los consumidores más avanzados.
Debido a la cantidad de información valiosa almacenada y las pocas medidas de seguridad que ofrecen, los ciberdelincuentes han centrado su atención, justamente, en este tipo de dispositivos NAS. En el marco del Día de la internet Segura, es el deber de las empresas especializadas en ciberseguridad compartir información en torno a amenazas y así poder tomar medidas para prevenir; sobre todo ahora que la modalidad de trabajo híbrido y remoto ha enviado a muchos empleados trabajando desperdigados desde redes de internet que no están lo suficientemente protegidas, por lo que frecuentemente pueden ser la puerta de entrada perfecta para cualquier ataque.
En la investigación, «Backing Your Backup: Defending NAS Devices Against Evolving Threats«, se identificaron aquellas funciones de los dispositivos NAS que suelen utilizar los usuarios y las PYMES, así como las amenazas:
Los dispositivos NAS de ransomware
Las rutinas más notables observadas a lo largo de 2021 fueron las de Qlocker, REvil, eCh0raix y DarkSide. Cada familia de ransomware -sin mencionar cada variante-, explora puntos de entrada potenciales a través de vulnerabilidades y configuraciones en sus plataformas basadas en Linux, lo que sugiere cómo los dispositivos NAS pueden incluirse en los modelos comerciales dañinos que estos grupos de ransomware utilizan para aumentar las ganancias.
Redes
Los sistemas NAS son objetivos ideales para la ciberdelincuencia debido a que sus defensas de seguridad no son suficientes para resguardar los datos, una vez que los atacantes han traspasado su protección comprometiendo su integridad, no hay vuelta atrás. Además, incluso los tipos de malware e infecciones más antiguos pueden permanecer en la red sin ser detectados durante años debido a la falta de actualizaciones, aumentando aún más los riesgos para los usuarios de NAS, lo que se ve agravado por la enorme cantidad de posibles usos ilícitos además de DDoS, como el robo de información y las redes proxy.
Por otra parte, los dispositivos NAS de criptominería siguen siendo vulnerables a ataques y amenazas ilícitas, también por problemas de seguridad derivados de la falta de actualización de versiones obsoletas de software instaladas en estos dispositivos. Los criptomineros pueden aplicar fuerza bruta a las credenciales de Secure Socket Shell (SSH) y obtener acceso a un sistema, lo que afecta su rendimiento y vida útil. Mientras que otros podrían considerar simplemente una molestia que los mineros de monedas como UnityMiner y Dovecat usen sus recursos NAS, estos mineros son en realidad un síntoma de un problema de seguridad mayor y pueden usarse para otras actividades maliciosas.
Ataques altamente dirigidos
Como dispositivo de almacenamiento de respaldo, los dispositivos NAS son fuentes de información valiosa y también pueden ser objetivos de amenazas persistentes avanzadas (APT) como QSnatch (también conocido como Derek), una familia de malware que se enfoca específicamente en los dispositivos NAS de QNAP. A pesar de su primera campaña realizada en 2014 y de los informes que ya sugerían actualizaciones en 2018 y 2020, aún se observan más de 60.000 dispositivos NAS infectados por el malware. QSnatch, con sus características de persistencia y evasión de detección, tiene un alto nivel de sofisticación y es probable que se use como una forma de arma para el ciberespionaje.
Los NAS son herramientas vitales de almacenamiento y copia de seguridad que se han vuelto esenciales para garantizar las operaciones continuas de las empresas y el buen funcionamiento de los hogares modernos de los consumidores. Debido a esto, los ciberdelincuentes continuarán explorando los escenarios de ataque y abuso potencial de estos dispositivos como punto de partida para ataques más dañinos. Dado que los usuarios dependen cada vez más de estos, los equipos de seguridad y los investigadores deben realizar un seguimiento de la escalada de amenazas y ataques mediante la implementación y el refuerzo de medidas de seguridad para estos sistemas.
La solución a este tipo de intrusiones
Si bien el panorama puede parecer desalentador, esto solo es muestra de que los ciberdelincuentes trabajan arduamente para perfeccionar sus métodos de intrusión ante cualquier vulnerabilidad en la red, la cual es aprovechada como puerta de entrada a la infraestructura de las compañías, por ello es importante que las empresas implementen las mejores prácticas de seguridad, acompañadas de los aliados y las herramientas de ciberseguridad indicados, como Trend Micro Vision One™ con Managed XDR, una plataforma especialmente diseñada que va más allá de las soluciones XDR tradicionales.
Vision One permite al equipo de TI estar un paso más adelante y por lo tanto tener mejor visibilidad, responder más rápido y lograr una mayor seguridad al proporcionar un enfoque contextual claro de las amenazas. Además, permite que los equipos de seguridad y los analistas conecten más puntos en una vista holística, simplificando los pasos para centrarse en el ataque de una cadena completa de eventos, a fin de que las organizaciones puedan tomar medidas desde una única plataforma.