¿Puede el ransomware infectar el almacenamiento en la nube?

Los usuarios y las organizaciones a menudo creen erróneamente que el almacenamiento en la nube pública es un almacenamiento muy fiable y no puede verse perjudicado por el ransomware. La realidad es que el almacenamiento en la nube es fiable gracias a la redundancia de los discos, las conexiones de red y las medidas de replicación aplicadas por los proveedores de nube en sus centros de datos. Sin embargo, esto no significa que los datos estén a salvo y no puedan ser corrompidos por ransomware en la nube. Esta entrada del blog explica cómo el ransomware puede atacar los datos en la nube y cómo prevenir la pérdida de datos en este caso.

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Evolución de la seguridad en la nube contra el ransomware

El ransomware, por desgracia, sigue evolucionando, volviéndose más sofisticado y peligroso. Los ciberataques también se han generalizado. Por ello, las medidas de seguridad en la nube deben evolucionar para hacer frente a esta amenaza. Los proveedores de ciberseguridad y backups están desarrollando soluciones para ayudar a usuarios y organizaciones a proteger sus datos.

Una de las tendencias más peligrosas de los últimos años ha sido el ransomware como servicio (RaaS). Los ciberdelincuentes expertos venden kits de ransomware listos para usar a los atacantes menos cualificados, con lo que aumenta el número de ataques de ransomware. Las cepas de ransomware utilizadas en este tipo de ataques también pueden acceder a las redes locales de las organizaciones y propagarse por entornos de nube.

El ransomware de nube es otro nuevo tipo de ransomware diseñado para acceder a los datos en la nube. Puede robar datos y enviarlos a los atacantes, así como cifrarlos. Este tipo de ransomware puede explotar vulnerabilidades en entornos de nube.

Almacenamiento en la nube como objetivo del ransomware

El ransomware puede dirigirse al almacenamiento en la nube de múltiples formas, entre ellas aprovechando las vulnerabilidades del software y engañando a los usuarios. Los proveedores de nube como Microsoft, Amazon y Google siempre aplican fuertes medidas de seguridad, pero los atacantes pueden explotar las vulnerabilidades en el lado del usuario, es decir, dentro de la infraestructura local de una organización.

• Sincronización de archivos. Los servicios de almacenamiento en la nube suelen permitir a los usuarios sincronizar archivos en un disco local además del almacenamiento en la nube (por ejemplo, Microsoft OneDrive, Google Drive, etc.). Si el ordenador de un usuario está infectado por el ransomware, éste cifra los archivos de la unidad local y, a continuación, los archivos dañados se sincronizan con el almacenamiento en la nube. Como resultado, los Archivos en la nube pública también se corrompen.
• Credenciales de usuario comprometidas. Los atacantes utilizan el phishing y los ataques de fuerza bruta para comprometer las credenciales del usuario y obtener acceso a los archivos de su ordenador y de otros ordenadores de la red. Después de instalar el ransomware, los archivos se cifran y, como resultado, se corrompen. Con este método, los atacantes pueden acceder a la cuenta en la nube y eliminar o corromper datos.
• Explotación de las API de la nube. Las interfaces de programación de aplicaciones (API) son proporcionadas por los proveedores de la nube para una mayor comodidad y la posibilidad de desarrollar aplicaciones de terceros para trabajar con servicios en la nube. Las API permiten a las aplicaciones automatizar tareas cuando trabajan con servicios en la nube. Los atacantes pueden utilizar vulnerabilidades en las API o utilizar claves de API robadas para acceder al almacenamiento en la nube. Una vez que los atacantes obtienen acceso, pueden instalar ransomware para corromper y eliminar archivos. Así, las vulnerabilidades de la API podrían permitir al ransomware eludir los controles de seguridad normales, dando a los atacantes acceso directo a los datos de almacenamiento en la nube.
• Carpetas compartidas y herramientas de colaboración. Las carpetas compartidas se utilizan principalmente con fines de colaboración dentro de las organizaciones. Si se compromete un dispositivo o una cuenta, el ransomware puede cargarse en carpetas compartidas. Dado que otros usuarios pueden acceder a estos archivos compartidos, el ransomware puede propagarse rápidamente por toda la organización. Las herramientas de colaboración basadas en la nube, como Microsoft Teams o Google Workspace, pueden amplificar la propagación del ransomware si se infectan los archivos compartidos.
• Controles de acceso deficientes. Sin una política de seguridad sólida, los atacantes pueden aprovecharse de permisos mal configurados. Si los usuarios tienen permisos de escritura innecesarios o acceso de administración al almacenamiento en la nube, el ransomware puede adquirir este acceso para cifrar y destruir archivos.

Protección del almacenamiento en la nube frente al ransomware

La protección del almacenamiento en la nube contra el ransomware requiere una combinación de enfoques, incluidas medidas preventivas, controles de acceso y estrategias de recuperación de datos. Aunque los proveedores de nubes garantizan un alto nivel de seguridad, sólo son responsables de la infraestructura subyacente de la nube. Las organizaciones que utilizan esos recursos para almacenar sus datos son responsables de la protección de los mismos y de las medidas correspondientes para evitar la pérdida de datos por su parte. Es lo que se denomina un modelo de responsabilidad compartida, que forma parte del acuerdo de licencia de usuario final de la mayoría de los proveedores de nube.

A continuación, puede ver las principales medidas de protección contra el ransomware a disposición de las organizaciones:

• Habilita el control de versiones para los archivos en la nube. El control de versiones de archivos le permite restaurar versiones anteriores de archivos no infectados si las últimas versiones de archivos están cifradas o dañadas por ransomware. Puede configurar esta función para conservar varias versiones de cada archivo en el almacenamiento en la nube. Los principales proveedores de almacenamiento en la nube, como Microsoft OneDrive y Google Drive, ofrecen control de versiones de archivos.
• Activa el cifrado de datos. Un cifrado potente impide que los atacantes accedan fácilmente a archivos confidenciales o los manipulen si acceden a su almacenamiento en la nube. Active el cifrado en tránsito y en reposo siempre que sea posible para garantizar un alto nivel de seguridad. Sólo pueden acceder a los datos cifrados los usuarios autorizados que dispongan de una clave o contraseña. Normalmente, hay opciones para utilizar el cifrado integrado en el servicio o aplicar el cifrado del lado del cliente. Tenga en cuenta que el ransomware puede cifrar los archivos cifrados, pero los atacantes no pueden leer los archivos cifrados sin la clave.
• Configure cuidadosamente los permisos de los usuarios. Utilice el principio del menor privilegio al configurar los permisos de acceso. A los atacantes siempre les resulta más fácil iniciar un ataque de ransomware infectando a un usuario normal, no a un administrador del sistema. Cuando los usuarios sólo tienen los permisos de administración y escritura necesarios, es más difícil que el ransomware se propague por la red e infecte otros recursos.
• Implantar la detección avanzada de amenazas. Instale software antivirus en los ordenadores de los usuarios finales para detectar y eliminar el ransomware si intenta infectarlos. Si un ordenador no está infectado por el ransomware, no podrá cifrar los archivos sincronizados con el almacenamiento en la nube.
• supervisión. Utilice sistemas de supervisión con alertas y notificaciones automáticas para detectar rápidamente comportamientos sospechosos, que pueden ser un indicio de actividades de ransomware. Las modificaciones masivas de archivos, el uso compartido masivo y los intentos de inicio de sesión desde ubicaciones desconocidas deben considerarse actividades sospechosas. Cuando el ransomware se detecta a tiempo, es más fácil detener el ataque y evitar resultados destructivos.
• Aísla el almacenamiento en la nube. Evite configurar la sincronización de archivos desde discos locales con almacenamiento en la nube. Esto puede reducir el riesgo de corromper archivos almacenados en la nube si el ordenador de un usuario local está infectado por ransomware.
• Desactiva el recurso compartido de archivos para orígenes no fiables. Limite el uso compartido de archivos a usuarios externos para minimizar el riesgo de infección por ransomware a través de documentos compartidos. Las macros de los documentos de Microsoft Office son una forma habitual de infectar el ordenador de un usuario. Establezca políticas estrictas sobre quién puede compartir archivos y con quién, y audite periódicamente las carpetas compartidas para asegurarse de que los usuarios no autorizados no tienen acceso.
• Educar a los usuarios. Formar continuamente a los usuarios y llevar a cabo cursos de concienciación sobre seguridad. Cuando los usuarios comprenden al menos los principios fundamentales de los ataques de ransomware y saben qué hacer si detectan indicios sospechosos, se reduce el riesgo de infección por ransomware. Los ataques de phishing que infectan los ordenadores de los usuarios son una forma habitual de propagar el ransomware en la infraestructura de la organización. Los usuarios deben ser capaces de reconocer los correos electrónicos de phishing y los enlaces sospechosos e informar a los administradores del sistema si hay indicios de un posible ciberataque.
• Haz backup de los datos con regularidad. Hacer backups permite restaurar los datos si los originales se perdieron después de un ataque de ransomware. Configure los backups periódicos automatizados y establezca las políticas de programación y retención necesarias para garantizar que puede recuperar los datos de distintos periodos. Hacer backup de los datos locales y de los almacenados en la nube.
• Habilita los backups inmutables. Si el ransomware puede acceder al almacenamiento de backups, éstos se corrompen y quedan inutilizables. Los backups inmutables utilizan el principio write-once-read-many (WORM). Una vez escrito el backups inmutable, no se puede modificar hasta que expire el periodo de inmutabilidad. Además de hacer backups inmutables, puede utilizar almacenamiento aislado de la red, como cintas o discos duros que se desconectan después de escribir los datos de backup. Los backups aislados de la red también son resistentes al ransomware porque éste no puede acceder físicamente a ellos.
• Impartir formación sobre recuperación ante desastres. Es importante estar preparado para los ataques de ransomware y probar sus backups. Cada empleado debe saber qué hacer si se detecta un ataque de ransomware: cómo detener la infección y el cifrado de archivos. Cuando se detiene y elimina un ataque de ransomware, es importante cerrar las brechas utilizadas por el ransomware y recuperar los datos. Cuando los escenarios de recuperación de datos están bien probados, puede restaurar los datos fácil y rápidamente.

Garantizar la conformidad y la seguridad con NAKIVO

NAKIVO Backup & Replication es una solución de protección de datos que le permite hacer backups y recuperar sus datos en caso de ataque de ransomware. La solución NAKIVO cuenta con un amplio conjunto de funciones, entre ellas algunas especialmente útiles para proteger los datos y los backups contra el ransomware.

• Backups de datos en la nube. La solución NAKIVO admite backup de VMware vSphere, Proxmox VE, Hyper-V, Nutanix AHV, estaciones de trabajo/servidores Windows y Linux, Amazon EC2 y Microsoft 365, incluidos Exchange Online, OneDrive para la Empresa, SharePoint Online y Microsoft Teams.
• Cómo hacer backups en distintos tipos de almacenamiento. Puedes hacer backups en la nube y en almacenamiento local. Amazon EC2, Amazon S3, almacenamiento compatible con S3, Azure Blob Storage, BackBlaze B2 y otras plataformas de almacenamiento en la nube son compatibles. En cuanto al almacenamiento local, puede almacenar los backups en repositorios locales de backups en máquinas Linux y Windows, dispositivos de NAS y soportes de cinta. Desconectar los backups y hacer backups aislados de la red protege contra el ransomware.
• Backups inmutables. Los repositorios de backups adjuntos a un Transportador Linux soportan la inmutabilidad de backups. Los backups inmutables pueden escribirse una vez y no pueden modificarse durante el periodo definido. Los repositorios de backups en Amazon S3 también hacen backups inmutables y garantizan la protección contra el ransomware en la nube.
• Programación y ajustes de retención. NAKIVO Backup & Replication proporciona ajustes avanzados de programación y retención. Puede programar jobs de backups para que se ejecuten automáticamente en cualquier momento, periódicamente o después de otro job. Los ajustes de retención flexibles permiten aplicar políticas de retención complejas para recuperar datos de puntos de recuperación recientes o antiguos. Puede utilizar el esquema abuelo-padre-hijo (GFS) u otras políticas de retención más complejas, que también ayudan a cumplir los requisitos de conformidad.
• Funciones de recuperación ante desastres. Puede utilizar la función de restauración del entorno para crear flujos de trabajo de recuperación ante desastres y realizar pruebas de recuperación ante desastres. Este enfoque le prepara para posibles fallos, de modo que pueda recuperar los datos sin problemas y con rapidez en la nube y en las instalaciones locales.
• Recuperación granular. Si el ransomware ha infectado sus datos y sólo necesita recuperar determinados archivos y objetos, puede hacerlo rápidamente con la función de recuperación granular. Puede recuperar archivos y carpetas específicos de máquinas virtuales de VMware vSphere, máquinas virtuales de Microsoft Hyper-V, máquinas físicas de Linux/Windows y backups de Amazon EC2, así como recuperar archivos específicos de Microsoft OneDrive, correos electrónicos de Exchange, sitios de SharePoint, objetos de Microsoft Teams, etc.
• Control de accesos basado en roles. Puede configurar cuentas de usuario, roles y permisos en NAKIVO Backup & Replication para las operaciones de backup y recuperación. Configurar los permisos adecuados utilizando varios niveles de acceso restringe el acceso no autorizado. El modo multiarrendamiento es útil para grandes organizaciones y proveedores de servicios gestionados interesados en la protección contra el ransomware en la nube.
• cifrado de los backups. Cifrar los datos de backups los protege contra el robo por parte de ciberdelincuentes si los servidores de backups están infectados por ransomware. Se recomienda utilizar copias de backups y seguir la regla 3-2-1 con NAKIVO Backup & Replication para evitar la corrupción de backups por ransomware. Puede activar el cifrado de los backups en origen, el cifrado de la red y el cifrado de los backups en reposo (a nivel de repositorio).
• Análisis de malware en los backups. Es importante asegurarse de que los datos del backups no contengan virus ni ransomware. En el caso de que restaure archivos que contengan virus y ransomware, la infección secundaria puede dañar los datos después de la recuperación. La solución NAKIVO admite la integración con distintos programas antivirus para escanear los backups y comprobar que están libres de virus.

Conclusión

Proteger los datos en la nube contra el ransomware exige aplicar una serie de medidas preventivas y hacer backups de los datos con regularidad. Los datos almacenados en la nube pública pueden ser infectados por ransomware de diferentes maneras. Es importante proteger los backups almacenados en la nube y en local contra el ransomware, ya que éste puede atacar a los archivos de backup. NAKIVO Backup & Replication puede proteger sus datos en la nube y en local con funciones avanzadas de backup y recuperación.

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free