En los últimos meses, el secuestro de recursos cloud sin emplear experimentó un aumento considerable, por ello el mercado debe tomar medidas al respecto. Se trata de Hazy Hawk, un sofisticado actor malicioso que explota registros DNS abandonados y alojados en la nube.
Ya sean buckets de Amazon S3 o endpoints de Azure, estos recursos se emplean para llevar a cabo el rapto de subdominios (subdomain hijacking). Este descubrimiento, es parte de todas las actividades de investigación, que realiza el laboratorio Infoblox Threat Intel de la firma.
Dicho agente malicioso explota recursos cloud abandonados o no usados por las empresas, para llevar a cabo ciberestafas a gran escala y distribuir malware. Así Hazy Hawk asume el control de dichos recursos y los utiliza para alojar URL maliciosas, donde se realiza el fraude.
De esta manera, el secuestro de recursos cloud olvidados se basa en el uso de diferentes técnicas de hijacking sofisticadas. Ya que explota configuraciones incorrectas de DNS en la nube, para lo cual necesita tener acceso a servicios DNS pasivos y esto es un mayor riesgo.
El resultado de este tipo de incidentes, es un impacto a gran escala, geográfico y económico, ya que los dominios secuestrados tienen diferentes fines. Así ejecutar campañas de estafas, como anuncios falsos y notificaciones maliciosas, con esto se afectan a millones de usuarios.
Las empresas deben protegerse ante el secuestro de recursos cloud
Así, las estafas basadas en el secuestro de recursos cloud suponen fraudes multimillonarios, puntualmente en un determinado sector del mercado. En términos de la opacidad, Hazy Hawk emplea diferentes métodos de ofuscación y niveles de protección de sus operaciones.
Parte de dichas estrategias contempla el secuestro de dominios de organizaciones con una reputación reconocida. A esto se agrega la ofuscación de URLs y el redireccionamiento del tráfico a través de múltiples dominios, así estos ataques se vuelven más complejos y nocivos.
Es decir, Hazy Hawk aprovecha el hecho de que identificar registros DNS vulnerables en la nube es más difícil, que identificar dominios no registrados. Esto sucede especialmente en casos en los que las empresas no usan una solución integral, para brindar mayor visibilidad.
Ya que esto conlleva, una mayor capacidad de administración de sus activos de TI basados en la nube. De hecho, Hazy Hawk es responsable del secuestro de subdominios de diversas organizaciones norteamericanas, es que el secuestro de recursos cloud es de un alto riesgo.
Finalmente, para defenderse de amenazas como Hazy Hawk las empresas deben añadir una capa de seguridad basada en el servicio DNS. Sin embargo, la tecnología no es suficiente ya que es necesario complementarse con una cultura sólida de seguridad en la organización.