banner edicion impresa

Monitor Más Monitor


Los blancos preferidos de los ciberdelincuentes

Los blancos preferidos de los ciberdelincuentes


Publicación:08-12-2020
++--

Docker y Kubernetes están cada vez más entre los objetivos de los ataques de los ciberdelincuentes desde hace algunos años.

Sobre todo desde principios de 2018, cuando se comenzó a detectar un cambio de patrón en los ataques y en todo lo relacionado con el malware. Este cambio coincidió con el despegue de la nube y las tecnologías basadas en ella, que han crecido exponencialmente tanto en popularidad como en foco de atracción para los ciberdelincuentes.

Por entonces, los grupos de ciberatacantes comenzaros a contar entre sus objetivos a los sistemas de Kubernetes y Docker. Generalmente, según Zdnet, mediante un patrón muy sencillo. Los atacantes se dedicaban a escanear sistemas de Docker y Kubernetes con fallos de configuración que habían hecho que sus interfaces de administración quedasen expuestas online. Después tomaban control de los servidores afectados y desplegaban en ellos malware de minería de criptomonedas.

Desde entonces, lejos de disminuir, los ataques a ambos sistemas no han dejado de aumentar. También se han diversificado los ataques que sufren, y nuevos grupos y amenazas que actúan contra Docker y Kubernetes descubiertos cada poco tiempo. Pero a pesar de esto, hay muchos desarrolladores e ingenieros de infraestructuras dedicados al trabajo con contenedores que parece que todavía no se han enterado del peligro que supone no cuidar su protección, y siguen cometiendo errores al gestionarlos y configurarlos.

De estos errores, el más común es dejar la administración remota de Docker de los extremos de las APIs expuesta online sin que estén protegidos mediante autenticación. Esto ha hecho que durante estos años, los ciberatacantes utilizasen, entre otros, malwares como Doki, Ngrok, Kinsing, XORDDOS, AESDDOS, Team TNT o Xanthe para buscar servidores de Docker con este gallo de protección y utilizarlos para desplegar imágenes maliciosas de sistemas operativos para instalar backdoors o instalar minadores de criptomonedas.

El más reciente de estos ejemplos de malware lo descubrió la semana pasada una compañía china de seguridad, Qihoo 360. Se llama Blackrota, es un troyano desarrollado en Go y cuenta con versiones para Linux y Windows. Se desconoce exactamente para qué se emplea. Pero lo que sí se conoce es que utiliza los errores cometidos por los desarrolladores al configurar sus servidores de Docker.

Para evitar este tipo de ataques, es recomendable que tanto las empresas como los desarrolladores web como los ingenieros que utilicen sistemas de Docker y Kubernetes revisen su documentación oficial, con el objetivo de asegurarse de que la gestión de Docker, y el resto de funciones de este sistema o de Kubernetes estén debidamente protegidos. Por ejemplo, con mecanismos de autenticación adecuados, como sistemas basados en certificados.



« Especial »