Crooks exploit AWS misconfigurations to steal data

• Los ciberdelincuentes explotaron sitios web mal configurados para robar credenciales de AWS y datos confidenciales, utilizando buckets S3 abiertos para su almacenamiento.
• La brecha resalta la importancia de una configuración adecuada de la seguridad en la nube y de adherirse al modelo de responsabilidad compartida entre proveedores y clientes.
• Atacantes vinculados a los grupos de ciberdelincuencia ShinyHunters y Nemesis utilizaron herramientas de código abierto para escanear millones de direcciones IP de AWS en busca de credenciales expuestas.

Qué sucedió: Delincuentes vinculados a ShinyHunters almacenan credenciales y secretos de AWS robados en buckets S3 abiertos

Un ataque cibernético a gran escala tuvo como objetivo a clientes de AWS, donde ciberdelincuentes explotaron malas configuraciones en sitios web públicos para robar credenciales de AWS y otros datos confidenciales. Los atacantes, vinculados a los grupos de ciberdelincuencia ShinyHunters y Nemesis, accedieron a más de dos TB de datos, incluyendo código fuente, credenciales de bases de datos y claves de servicios de correo electrónico. Los delincuentes utilizaron buckets S3 abiertos, mal configurados por sus víctimas, para almacenar los datos robados. Los investigadores Noam Rotem y Ran Locar descubrieron la brecha durante escaneos de entornos de nube inseguros y lo reportaron a AWS y a la Dirección Cibernética de Israel. Esta brecha continuó durante varios meses, con atacantes aprovechando una variedad de herramientas y exploits de código abierto para escanear millones de direcciones IP de AWS en busca de credenciales y secretos expuestos.

Lea también: AWS presenta chips de IA de próxima generación e instancias en la nube
Lea también: AWS destina 100 millones de dólares en créditos de nube para impulsar la educación

Por qué es importante

Esta brecha pone de relieve una vulnerabilidad crítica en la seguridad de la nube: el modelo de responsabilidad compartida entre los proveedores de nube y sus clientes. Aunque AWS proporciona una infraestructura segura, los clientes son responsables de garantizar una configuración adecuada y el manejo correcto de los datos confidenciales. Los atacantes explotaron sitios web públicos mal configurados para robar credenciales, claves y secretos, lo que enfatiza el riesgo de una mala gestión de datos. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

Un aspecto clave fue el uso por parte de los delincuentes de buckets S3 abiertos para almacenar más de dos TB de datos robados. Esto expuso la infraestructura de los atacantes y subrayó los peligros del almacenamiento en la nube no seguro. Además, la participación de importantes grupos de ciberdelincuencia como ShinyHunters ilustra la naturaleza sofisticada de estos ataques. Esta brecha sirve como recordatorio de la importancia de proteger las credenciales de AWS y utilizar herramientas como AWS Secrets Manager para evitar exposiciones. Ver también: Asociación ECHOES.

Los usuarios de la nube deben seguir las mejores prácticas de seguridad, como auditar periódicamente sus entornos de nube, proteger los datos confidenciales y asegurarse de que las credenciales no estén codificadas de forma fija en el código o repositorios. Siguiendo estas precauciones, se pueden minimizar los riesgos asociados con las malas configuraciones de la nube, ayudando a prevenir brechas de esta magnitud. Ver también: IT Department - Athlok.