Descripción de la Tecnica
Lifecycle-Triggered Deletion es una técnica de ataque relacionada con el MITRE ATT&CK, que permite a los actores maliciosos modificar las políticas de vida (lifecycle) de un bucket de almacenamiento en la nube para destruir todos los objetos almacenados dentro. Este método aprovecha la capacidad de automatización de migración, arquivado o eliminación de objetos después de un período específico, como lo define el Storage Lifecycles de AWS, GCP y Azure.
Cómo Funciona
Los atacantes pueden modificar las políticas de vida de un bucket de almacenamiento para activar la eliminación masiva de objetos. Por ejemplo, un atacante con permisos suficientes podría configurar una política que elimine todos los objetos después de un breve período de tiempo, aprovechando la automatización intrínseca del sistema. Este comportamiento está relacionado con el T1485.001 del MITRE ATT&CK.
Actores que la Utilizan
Esta técnica es utilizada por actores avanzados, como grupos de amenaza persistente o ransomware, que buscan aprovechar la infraestructura de almacenamiento en la nube para realizar ataques de ciberseguridad. Los atacantes suelen tener acceso a cuentas con permisos administrativos o privilegios elevados en entornos cloud.
Detección
La detección implica monitorear cambios inusuales en las políticas de vida de los buckets, así como identificar eliminaciones masivas de objetos sin un contexto lógico. Herramientas de seguridad deben revisar registros de actividad y alertar sobre modificaciones anómalas en configuraciones de almacenamiento.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar este riesgo, se recomienda: - Usar roles de IAM con el principio de mínimo privilegio. - Implementar monitoreo continuo de políticas y actividad en buckets de almacenamiento. - Configurar alertas basadas en la detección de cambios anómalos en configuraciones de vida (lifecycle). - Limitar el acceso a cuentas administrativas o privilegiadas en ambientes cloud.