0
0
A Ermetic anunciou os resultados de um estudo sobre a postura de segurança dos ambientes AWS e sua vulnerabilidade a ataques de ransomware. Em praticamente todas as organizações participantes, foram encontradas identidades que, se comprometidas, colocariam pelo menos 90% dos buckets S3 em uma conta AWS em risco.
À medida que mais e mais dados se movem para a nuvem, plataformas como a AWS estão se tornando um alvo atraente para os operadores de ransomware. Embora o Amazon S3 seja considerado extremamente confiável, uma identidade comprometida com a combinação certa de direitos pode expor objetos de dados a ransomware.
Os pesquisadores descobriram que tais combinações vulneráveis a ransomware são extremamente comuns. Na verdade, mais de 70% dos ambientes do estudo tinham máquinas que estavam expostas publicamente à Internet e estavam ligadas a identidades cujas permissões poderiam ser exploradas para permitir que as máquinas realizassem ransomware.
“Poucas empresas estão cientes de que os dados armazenados em infraestruturas de nuvem como a AWS estão em risco de ataques de ransomware, por isso realizamos esta pesquisa para investigar com que frequência existem as condições certas para que os buckets Amazon S3 sejam comprometidos”, disse Shai Morag, CEO da Ermetic.
“Descobrimos que em todas as contas que testamos, quase todos os buckets S3 de uma organização eram vulneráveis a ransomware. Portanto, podemos concluir que não se trata de se, mas quando, ocorrerá um grande ataque de ransomware à AWS.”
Maioria das contas AWS vulneráveis a ataques de ransomware
Os pesquisadores identificaram as seguintes descobertas nas organizações que avaliaram, o que permitiria que o ransomware alcançasse e executasse nos buckets Amazon S3:
- No geral, todos os ambientes corporativos estudados tinham identidades em risco de serem comprometidas e que poderiam executar ransomware em pelo menos 90% dos buckets em uma conta AWS
- Mais de 70% dos ambientes tinham máquinas expostas publicamente à internet e identidades cujas permissões permitiam que as máquinas expostas realizassem ransomware
- Mais de 45% dos ambientes tinham identidades de terceiros com a capacidade de executar ransomware elevando seus privilégios ao nível de administrador (uma descoberta surpreendente com implicações de longo alcance além do foco de ransomware desta pesquisa)
- Quase 80% dos ambientes continham usuários do IAM com chaves de acesso habilitadas que não haviam sido usadas por 180 dias ou mais e tinham a capacidade de executar ransomware
É importante notar que essas descobertas se concentram em identidades únicas e comprometidas. Em muitas campanhas de ransomware, os maus atores geralmente se movem lateralmente para comprometer várias identidades e usar suas permissões combinadas, aumentando muito sua capacidade de acessar recursos.
“Este relatório destaca a necessidade urgente de “detectar ameaças” na nuvem e não apenas se concentrar em configurações incorretas. Pesquisas da Cloud Security Alliance mostram que, mesmo que configurações incorretas sejam detectadas em buckets S3 ou chaves de acesso IAM que não estejam sendo usadas por muito tempo, leva um tempo para que elas sejam detectadas e corrigidas – às vezes dias, semanas e até meses. Ele também destaca que o ransomware não é apenas um problema local, mas como a pandemia acelerou a migração de cargas de trabalho na nuvem, também acelerou a migração para invasores e operadores criminosos de ransomware”, disse Saumitra Das, CTO da Blue Hexagon, à Help Net Security.
Das acredita que é fundamental monitorar 3 coisas na nuvem:
1. Atividade de tempo de execução das identidades em termos do que estão fazendo e de onde.
2. Armazenamento em nuvem (S3) em termos não apenas de permissões e configurações, mas também do padrão de leitura/gravação e do que realmente está sendo armazenado lá.
3. Atividade de rede que pode ser destacada quando instâncias inadvertidamente ou deliberadamente abertas à Internet são forçadas por bruto e, em seguida, identidades armazenadas nessas instâncias são usadas para movimento lateral.
FONTE: HELPNET SECURITY