Un proveedor de nube actúa como escondite para actores de 'ransomware'
Un informe de Halcyon asegura que el proveedor de servidores privados virtuales Cloudzy se está utilizando para albergar actividades maliciosas de numerosas fuentes.
Un proveedor de alojamiento de nube aparentemente inocuo puede estar al frente de una empresa con sede en Irán que brinda servicios de comando y control a los atacantes de ransomware, según un informe publicado por el consultor de seguridad Halcyon. De hecho, Cloudzy, tal y como dice el documento, es principalmente un proveedor de servicios privados virtuales, que acepta criptomonedas como pago. Y se ha identificado a una gran cantidad de actores de amenazas que han utilizado los servicios de la compañía en el pasado, incluidos grupos APT con vínculos con los gobiernos de China, Irán, Corea del Norte y Rusia, entre otros. También ha aportado servicios para un conocido vendedor de software espía y más de un sindicato criminal.
Según la firma de seguridad, Cloudzy no requiere ninguna verificación de identidad real de sus clientes, simplemente una dirección de correo electrónico válida. Supuestamente, la empresa impuso prohibiciones sobre su uso para cualquier actividad ilegal, pero solo cuando esa actividad se relacionaba con direcciones IPv4 registradas por el propio Cloudzy, no cuando se realizaba en infraestructura arrendada a otros proveedores.
La investigación también se llevó a cabo en torno al personal de la compañía. Y el informe dice que la presencia estadounidense de Cloudzy es al menos parcialmente ficticia, existiendo esencialmente en papel. En realidad, el documento dice que Cloudzy cuenta en gran parte con empleados de una empresa diferente, llamada abrNOC, con sede en Teherán (Irán).
Un nuevo modelo para los atacantes de ransomware
El informe dice que entre el 40% y el 60% de todos los servidores alojados por la empresa parecían admitir posibles actividades maliciosas. De ahí que concluya que Cloudzy es parte de un nuevo modelo de ataque de ransomware que proporciona el comando y control o aparato C2P para estos fines ilegales a través de una aparente fuente legítima. Es un enfoque diferente al problema, expresa el director de marketing de Halcyon, Ryan Golden.
“La mayoría de los operadores no se tomarán el tiempo para configurar sus operaciones para que aparezcan como compañías legítimas porque son más de nicho y quieren moverse más rápido al mercado. Utilizamos esta diferencia para establecer una distinción entre este segundo tipo de proveedor que tiende a esconderse detrás de la apariencia de absolutistas de la libertad de expresión y lo que llamamos C2O”, dice.
La idea de que un C2P se haga pasar por una empresa legítima tiene varias ventajas para los malos actores, prosigue. Por un lado, simplemente aparentar ser una entidad con sede en los Estados Unidos proporciona una capa de aparente confiabilidad y proporciona usuarios legítimos para ayudar a cubrir la actividad maliciosa. “Dado que el tráfico asociado con sus netblocks se mezcla con usos potencialmente legítimos, es más fácil para los ciberdelincuentes esconderse al aire libre”.
