El malware puede evadir las herramientas de seguridad en la nube
- Seguridad Inteligente
Las muestras de malware asociadas con el grupo de amenazas chino Rocke Group ahora son capaces de desinstalar productos de seguridad en la nube, según un análisis realizado por investigadores.
El malware refinado que proviene de Rocke Group puede eludir las herramientas de seguridad para instalar mineros de criptomoneda en sistemas en la nube.
Las muestras de malware recién descubiertas no están explotando una vulnerabilidad específica de los productos de seguridad en la nube; más bien, el malware está diseñado para obtener acceso de administrador en una instancia de nube determinada y desinstalar el software como cualquier administrador podría hacerlo.
El modus operandi de Rocke Group está explotando vulnerabilidades en servicios web, lo que proporciona una puerta trasera para que el atacante obtenga acceso a la shell, a través del cual se instala el software de minería de criptomonedas Monero en el sistema de destino. Las muestras de malware que se originaron en el grupo históricamente han incluido comandos para detener y eliminar otro software de minería de criptomonedas.
Los ejemplos descubiertos incluyen instrucciones adicionales para bloquear los productos de seguridad más populares utilizados en las plataformas en la nube. Fundamentalmente, estos son productos de seguridad basados en agentes que requieren la instalación en instancias alojadas en la nube, lo que los pone al alcance de este malware.
Dado que se supone que Rocke Group tiene su sede en China, este comportamiento solo se ha demostrado con productos de seguridad utilizados para los servicios de nube chinos. Los investigadores expresan su preocupación de que los autores de malware adopten ampliamente el comportamiento de desinstalar soluciones de seguridad en la nube para evadir la detección.
Existen algunas consideraciones para mantener la integridad de seguridad a la luz de esta estrategia de ataque. La ausencia espontánea de un programa que se espera que exista en una instancia determinada debe considerarse una señal de que algo ha salido mal. Los productos de seguridad para empresas generalmente solo reaccionan cuando se detecta una anomalía, aunque el uso de algún tipo de baliza periódica para indicar actualizaciones de definición, etc., como mínimo, brindaría seguridad a los interesados en TI de que el software de seguridad funciona con normalidad. Esto no necesariamente tiene que ser una característica del software de agente de seguridad; se podría realizar usando cron para verificar si existe un proceso.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.