0
0
Dentro da multidão de malware, o ransomware está liderando o pacote. Enquanto outros softwares maliciosos saqueiam sistemas de computador, o ransomware vai além fazendo exigências. É a velha tática de extorsão, mas reencenada no mundo digital. À medida que nos tornamos mais dependentes da internet, o campo de jogo para essa variedade particular de malware se expandiu incomensuravelmente. Ao mesmo tempo, as ameaças à segurança cibernética estão crescendo – em 2020, os ataques de malware e ransomware aumentaram em 358% e 435%, respectivamente – e estão superando as sociedades.
Embora o ransomware possa ter começado como uma operação de oportunidade, desde então tornou-se uma empresa criminosa estabelecida. Assim como um negócio legítimo se adapta para permanecer competitivo, as gangues de ransomware fazem o mesmo. A mudança de massa para a nuvem é um exemplo disso.
A migração de nuvens não é um fenômeno novo, mas a pandemia certamente o acelerou. Para manter a continuidade de negócios, as empresas transferiram seus ativos e operações digitais para um ambiente de computação em nuvem, minimizando o uso de bancos de dados no local. Infelizmente, os cibercriminosos reconheceram essa mudança e os dados valiosos agora mantidos dentro da nuvem, levando a ataques “ransomcloud”.
Tais ataques ocorrem através de três métodos-chave: sincronização de arquivos, conexão remota com credenciais roubadas e ataque ao provedor de nuvem. É assim que essas abordagens funcionam.
File Sync Piggybacking
O primeiro tipo de ataque à nuvem de resgate aproveita o phishing para infectar o computador local da vítima. No entanto, ao contrário da crença popular, o anexo ou link de e-mail malicioso muitas vezes não contém a carga de malware. Em vez disso, ele oferece um pequeno programa que é executado em segundo plano e instala o malware.
Uma vez no sistema, o malware se disfarça como uma solicitação de permissão popup de software confiável. Ao aprovar, o malware é ativado e pode se disseminar em toda a rede para qualquer máquina conectada. À medida que se espalha, os atores de ameaças procuram serviços de sincronização de arquivos interagindo com serviços de nuvem. Uma vez identificado, o ransomware se desarmou na sincronização de arquivos, permitindo que os atores de ameaças acessem, infectem e criptografem dados na nuvem.
Se a organização tiver medidas como o gapping de ar no local, o ransomware pode ser incapaz de comprometer uma rota para a nuvem e resolver sobre infecção local. Isso explica o aumento do uso do Google Drive, Slack, Microsoft Teams etc., para distribuir softwares maliciosos. Essas aplicações ficam entre a nuvem e dispositivos no local. Uma vez comprometido, torna-se incrivelmente difícil reverter o impacto. É aí que as ferramentas avançadas do CORRETOR DE SEGURANÇA de acesso à nuvem (CASB) se mostram úteis à medida que se sentam entre as infraestruturas no local e na nuvem, verificando o tráfego entre elas.
Conexão remota com credenciais roubadas
A segunda tática vê os atores de ameaças monitorarem conexões de rede para tentativas de autenticação. Eles então capturam as credenciais de nuvem do usuário, geralmente apresentando um portal de login falso mascarado como a verdadeira plataforma em nuvem. Ao rastrear as teclas no computador local infectado, os detalhes da conexão podem ser copiados para um computador remoto e inseridos automaticamente na plataforma real da nuvem.
À medida que o malware local captura e transfere as teclas para o computador remoto, os criminosos cibernéticos podem acessar a nuvem através de login simultâneo. Portanto, potencialmente ignorando métodos de autenticação de dois fatores. Agora, eles têm uma conexão com a nuvem e o mesmo acesso que o usuário clonado.
Atacando o Provedor de Nuvem
Por fim, um ataque com nuvem de resgate pode surgir mirando diretamente no provedor de nuvem. Este é o método mais prejudicial e lucrativo para o atacante, porque se eles forem bem sucedidos, significaria que eles comprometeram toda a plataforma de nuvem. Em suma, eles poderiam exigir resgates de todos os clientes do serviço comprometido.
Considere a nuvem do Microsoft Azure, que tem uma vulnerabilidade em agosto de 2021, que permitiu que os invasores aumentassem privilégios e se movessem lateralmente através da nuvem da Microsoft. Embora rapidamente corrigido sem ataques relatados, este incidente destaca o risco.
Responsabilidade pela Segurança na Nuvem
Tendo agora investigado como a nuvem poderia ser comprometida, podemos então perguntar quem tem a responsabilidade de manter sua segurança? A resposta é uma responsabilidade compartilhada. Fornecedores de nuvem, empresas ou seus provedores de serviços gerenciados e até mesmo funcionários individuais desempenham um papel. Deve-se simplesmente estabelecer responsabilidade no início do processo de migração em nuvem.
No entanto, é importante lembrar que uma empresa é sempre responsável por seus dados, independentemente de onde esteja hospedado. Eles precisam estar atentos às suas políticas permissivas, ameaças internas, campanhas de phishing e credenciais vazadas. A melhor maneira de combater alguns desses desafios é adotar medidas de boas práticas, como seguir o princípio do menor privilégio para limitar as ações prejudiciais se uma conta em nuvem for hackeada. Também significa investir em treinamento de conscientização de segurança para conter tentativas bem sucedidas de phishing. As empresas também devem garantir que tenham clara visibilidade de seus ambientes em nuvem para detectar e remediar problemas mais cedo ou mais tarde.
FONTE: INFOSECURITY MAGAZINE