Σύμφωνα με την SentinelOne, οι επιθέσεις ransomware στο cloud έχουν γίνει μια συνηθισμένη προσέγγιση από ομάδες hacking, για την παραβίαση των συστημάτων πληροφορικής των στόχων τους.
Δείτε επίσης: FTC: Έρευνα για αντιμονοπωλιακές πρακτικές της Microsoft στο cloud;
Οι επιτιθέμενοι αξιοποιούν όλο και περισσότερο τις υπηρεσίες των παρόχων cloud για να στοχεύσουν άμεσα τα θύματά τους ή να διεισδύσουν στα δεδομένα τους, σύμφωνα με μια νέα έκθεση της SentinelLabs.
Από τη μία πλευρά, στοχεύουν υπηρεσίες αποθήκευσης που βασίζονται σε cloud για να παραβιάσουν και να εκβιάσουν θύματα. Από την άλλη, χρησιμοποιούν υπηρεσίες cloud για να εκμεταλλευτούν τα δεδομένα που σκοπεύουν να κρυπτογραφήσουν.
James Webb: Ανακάλυψε μία από τις αρχαιότερες σουπερνόβα
GDPR: Πώς TikTok, Shein & Temu παίζουν με το απόρρητο μας;
Σεληνιακή Απόκρυψη: Το φεγγάρι κρύβει τον Κρόνο
Ο Alex Delamotte, ερευνητής απειλών στην SentinelLabs, τον ερευνητικό κλάδο του παρόχου κυβερνοασφάλειας, δημοσίευσε το The State of Cloud Ransomware το 2024 στις 14 Νοεμβρίου.
Οι υπηρεσίες cloud παρέχουν ένα πλεονέκτημα έναντι των υπηρεσιών που βασίζονται σε τελικό σημείο και web server, καθώς έχουν μικρότερη επιφάνεια επίθεσης. Ωστόσο, η πανταχού παρούσα χρήση των υπηρεσιών cloud τις καθιστά ελκυστικές για τις ομάδες ransomware οι οποίες έχουν αναπτύξει νέες προσεγγίσεις για να τις παραβιάσουν.
Παρά το γεγονός ότι έχουν σχεδιαστεί για την ασφαλή αποθήκευση, διαχείριση και ανάκτηση μεγάλων όγκων μη δομημένων δεδομένων σε κλίμακα, οι υπηρεσίες αποθήκευσης που βασίζονται σε cloud, όπως το Amazon Web Services (AWS) Simple Storage Service (S3) ή το Microsoft Azure Blob Storage, έχουν γίνει πρωταρχικοί στόχοι.
Δείτε ακόμα: ShrinkLocker ransomware: Δωρεάν εργαλείο αποκρυπτογράφησης
Οι κάδοι S3 είναι ένας από τους πιο αναφερόμενους στόχους κακόβουλης δραστηριότητας.
Μια τεχνική εκμεταλλεύεται μέτρα διατήρησης δεδομένων που εφαρμόζονται από παρόχους υπηρεσιών cloud (CSP).
Για παράδειγμα, η Υπηρεσία Διαχείρισης Κλειδιών AWS (KMS) ορίζει ένα παράθυρο επτά ημερών μεταξύ ενός αιτήματος διαγραφής κλειδιού και της μόνιμης διαγραφής του, παρέχοντας στους χρήστες χρόνο για να εντοπίσουν και να διορθώσουν μια επίθεση ransomware σε περιπτώσεις S3.
Οι ομάδες ransomware μπορούν να προγραμματίσουν ένα κλειδί KMS για διαγραφή και να υπόκεινται στο παράθυρο των επτά ημερών πριν το κλειδί διαγραφεί οριστικά στο περιβάλλον cloud του θύματος. Μπορούν να το αξιοποιήσουν για να απειλήσουν τα θύματα με διαγραφή δεδομένων.
Μια άλλη τεχνική στοχεύει τους τόμους Amazon Elastic Block Store (EBS), οι οποίοι είναι εξαιρετικά διαθέσιμες, ανθεκτικές συσκευές αποθήκευσης μπλοκ, που μπορείτε να συνδέσετε σε Amazon EC2 (Elastic Compute Cloud), μέσω μιας παρόμοιας προσέγγισης.
Συνήθως, ο εισβολέας δημιουργεί ένα νέο κλειδί KMS, δημιουργεί ένα στιγμιότυπο των τόμων EBS, κρυπτογραφεί τους τόμους και στη συνέχεια διαγράφει τον αρχικό, μη κρυπτογραφημένο τόμο.
Δείτε επίσης: Halliburton: Απώλειες $ 35 εκατ. μετά από επίθεση ransomware
Για τον μετριασμό των ομάδων ransomware που εστιάζουν στο cloud, η SentinelOne συνιστά δύο βασικά μέτρα ασφαλείας:
- Χρησιμοποιήστε μια λύση CSPM για να ανακαλύψετε και να αξιολογήσετε περιβάλλοντα cloud και να ειδοποιήσετε για ζητήματα όπως η εσφαλμένη διαμόρφωση και οι υπερβολικά ανεκτικοί κάδοι αποθήκευσης
- Να εφαρμόζετε πάντα καλές πρακτικές διαχείρισης ταυτότητας, όπως η απαίτηση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) σε όλους τους λογαριασμούς διαχειριστή και να αναπτύσσετε προστασία χρόνου εκτέλεσης έναντι όλων των φόρτων εργασίας και πόρων στο cloud
Πηγή: infosecurity-magazine