AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nuevo malware PCPJack utiliza archivos Parquet para descubrir objetivos en la nube de forma sigilosa**

admin

### Introducción

En los últimos meses, los equipos de ciberseguridad de organizaciones multinube han observado una oleada de ataques avanzados caracterizados por el uso innovador de archivos Parquet como vector de descubrimiento de objetivos. El malware identificado como PCPJack ha irrumpido en el panorama de amenazas con técnicas orientadas a la evasión y al reconocimiento automatizado, comprometiendo la seguridad de entornos cloud híbridos y multi-proveedor. Este artículo desglosa en profundidad la naturaleza de PCPJack, sus mecanismos técnicos, el alcance potencial del riesgo y las mejores prácticas para la defensa.

### Contexto del Incidente o Vulnerabilidad

PCPJack fue identificado por primera vez a principios de 2024 tras varios incidentes de actividad inusual en plataformas de almacenamiento cloud. La peculiaridad de este malware reside en su estrategia de reconocimiento: en lugar de emplear técnicas ruidosas de escaneo de red, PCPJack explota archivos Parquet legítimos para extraer información sobre infraestructuras cloud y pre-filtrar objetivos potenciales. Este enfoque le permite evitar soluciones clásicas de detección basadas en tráfico o comportamiento, posicionándose como una amenaza relevante para organizaciones que operan en AWS, Azure y Google Cloud Platform.

### Detalles Técnicos

PCPJack aprovecha archivos Parquet, un formato de almacenamiento columnar ampliamente utilizado en big data y data lakes por su eficiencia de compresión y consulta. El malware utiliza scripts escritos en Python y Go, integrando librerías como `pyarrow` y `fastparquet` para analizar masivamente grandes volúmenes de datos almacenados en buckets y repositorios cloud.

El vector de ataque principal se inicia con la obtención de credenciales expuestas o la explotación de permisos excesivos (CVE-2023-35780, relacionado con la gestión inadecuada de roles en AWS IAM). Una vez infiltrado el entorno cloud, PCPJack busca archivos Parquet en ubicaciones estándar (por ejemplo, `s3://company-data/`, `gs://analytics-results/`). Mediante consultas específicas extrae metadatos y registros que contienen detalles de hosts, endpoints, direcciones IP internas, identificadores de recurso y relaciones entre activos.

El malware implementa técnicas de evasión como el uso de procesos nativos de la nube para leer los archivos (por ejemplo, `aws s3 ls`, `gsutil cat`, `az storage blob download`), evitando la generación de logs anómalos o la ejecución de binarios externos. En la fase de descubrimiento, PCPJack correlaciona los datos extraídos con reglas predefinidas para identificar targets de alto valor, como servidores de bases de datos, sistemas ERP o aplicaciones críticas.

La cadena de ataque observada se alinea con los TTPs del framework MITRE ATT&CK, destacando las siguientes técnicas:

– **Discovery (T1087, T1083):** Enumeración de recursos y relaciones a través de análisis de archivos Parquet.
– **Defense Evasion (T1070.004):** Limpieza de logs y uso de utilidades nativas.
– **Credential Access (T1552.001):** Búsqueda de credenciales en archivos Parquet mal gestionados.

Se han identificado Indicadores de Compromiso (IoC) como scripts automatizados que buscan patrones de columnas (`instance_id`, `ip_address`, `service_type`), peticiones inusuales a buckets de datos analíticos y actividad de acceso a datos fuera de horarios habituales.

### Impacto y Riesgos

El impacto principal reside en la capacidad de PCPJack para realizar un reconocimiento detallado sin alertar a soluciones SIEM tradicionales. Según estudios recientes, hasta un 65% de las empresas con data lakes en la nube almacenan información sensible en archivos Parquet sin controles de acceso granulares. El potencial de daño incluye la preparación de ataques dirigidos, movimientos laterales y exfiltración de datos críticos.

En términos económicos, el coste medio de un incidente de reconocimiento exitoso previo a la explotación supera los 220.000 €, considerando la interrupción de servicios y la exposición de información confidencial. Además, la explotación de datos personales almacenados en Parquet puede suponer incumplimientos graves de GDPR y futuras sanciones bajo la directiva NIS2.

### Medidas de Mitigación y Recomendaciones

Las principales recomendaciones de mitigación incluyen:

– **Revisión de permisos:** Minimizar el acceso a buckets y repositorios de datos, empleando políticas de least privilege y auditoría periódica de roles IAM.
– **Cifrado y tokenización:** Proteger los archivos Parquet tanto en reposo como en tránsito, y aplicar técnicas de anonimización sobre datos sensibles.
– **Monitorización avanzada:** Configurar alertas específicas para el acceso y movimiento de archivos Parquet, integrando herramientas de comportamiento de usuario (UEBA) y análisis de logs a nivel de objeto.
– **Actualización y parcheo:** Corregir vulnerabilidades conocidas (como CVE-2023-35780) y mantener actualizadas las políticas de acceso condicional.
– **Formación y concienciación:** Instruir a equipos de datos y DevOps sobre los riesgos asociados al almacenamiento de información estructurada en Parquet.

### Opinión de Expertos

Juan García, analista principal de amenazas en un SOC europeo, comenta: “La tendencia al uso de formatos de big data como vector de ataque demuestra el alto grado de sofisticación de las amenazas actuales. PCPJack es un claro ejemplo de cómo los atacantes aprovechan la deuda de seguridad en la gestión de datos cloud”.

Por su parte, Marta López, CISO de una entidad financiera, apunta: “Es fundamental que la seguridad deje de ser un afterthought en proyectos de big data. Los controles de acceso y la trazabilidad sobre archivos Parquet deben endurecerse urgentemente”.

### Implicaciones para Empresas y Usuarios

Para las empresas, el caso PCPJack subraya la necesidad de integrar la seguridad en todo el ciclo de vida del dato, desde la ingesta hasta el archivado. La gestión proactiva de permisos, la monitorización en tiempo real y la colaboración entre equipos de seguridad y ciencia de datos serán claves para prevenir incidentes similares. Los usuarios deben ser conscientes de que la información almacenada en formatos eficientes no es necesariamente segura por defecto.

### Conclusiones

PCPJack pone de manifiesto la evolución de las tácticas de reconocimiento en entornos cloud y la importancia de proteger no solo la infraestructura, sino también los datos analíticos y sus metadatos. La seguridad en la nube debe adaptarse al ritmo de la innovación tecnológica y anticipar vectores de ataque que aprovechan la propia eficiencia de los ecosistemas big data.

(Fuente: www.darkreading.com)