[Stiri IT] Ce este RansomCloud și cum vă protejați? – CloudSavvy IT

[Demon]

 

RansomCloud este un ransomware conceput pentru a se infiltra și a cripta stocarea în cloud. Responsabilitatea pentru securitatea datelor dvs. nu este atât de simplă pe cât ați putea crede. Vă spunem ce trebuie să știți.

Ransomware și RansomCloud

Ransomware este un tip de malware care infectează computerele și serverele unei victime. Criptează fișierele și datele de pe acele dispozitive, făcând rețeaua inoperabilă. Pentru a inversa procesul, cunoscut sub numele de decriptare, necesită o cheie unică de decriptare. Infractorii cibernetici stoarc o răscumpărare în schimbul cheii.

Ransomware-ul este o afacere mare. De la începutul pandemiei de COVID-19, atacurile ransomware au crescut cu 600%. În 67% din cazuri, e-mailurile de phishing sunt folosite pentru a prinde victima. Atacurile de tip phishing sunt e-mailuri care sunt create pentru a imita îndeaproape e-mailurile din surse de încredere, cum ar fi servicii online, bănci și alte platforme de plată precum PayPal.

E-mailurile încearcă să genereze un sentiment de urgență. Există o problemă care trebuie rezolvată chiar acum sau o ofertă specială se închide în curând – nu ratați! Deschiderea unui atașament contaminat vă va infecta computerul. Dacă faceți clic pe un link rău intenționat, veți ajunge la un site web fals care vă va colecta acreditările sau vă va descărca programe malware pe computer.

Între timp, trecerea la cloud computing continuă fără încetare. Una dintre atracțiile percepute este robustețea îmbunătățită a operațiunii și continuitatea superioară a afacerii. Infrastructura care stă la baza ofertelor cloud de la furnizori de servicii precum Microsoft, Google, Amazon este de clasă mondială. Și dacă cineva știe securitatea, trebuie să fie acei titani ai tehnologiei, nu? Asta nu înseamnă că aceste platforme – sau orice altă platformă, de altfel – vin cu un sistem de securitate perfect împărțit. După cum vă puteți aștepta, este puțin mai complicat decât atât.

Criminalii cibernetici au început să vizeze platformele și serviciile cloud cu atacuri ransomware, dând naștere numelui „ransomcloud”. Indiferent dacă adoptați un cloud public, un cloud hibrid sau o infrastructură multi-cloud, infractorii cibernetici vor să vă acceseze datele. Cu cât aveți mai multe date într-un singur loc, cu atât o țintă devine mai atractivă. Dacă aceeași stocare de date deține datele pentru multe companii, valoarea sa pentru infractorii cibernetici crește.

Tipuri de atac RansomCloud

Există trei tipuri de atacuri care pot infecta stocarea în cloud.

Piggy-back la sincronizare

Majoritatea ransomware-urilor sunt furnizate prin atacuri de tip phishing. Primul tip de atac ransomcloud infectează computerul local al victimei. E-mailurile de phishing se bazează pe o acțiune a victimei, cum ar fi încercarea de a deschide un atașament fals sau clic pe un link. Este puțin probabil ca atașamentul să transporte malware-ul în sine. Mai des, ei rulează un program mic numit „dropper”. Dropperul rulează în fundal și descarcă și instalează malware-ul real. Făcând clic pe un link poate iniția și descărcări.

Malware-ul poate prezenta utilizatorului o fereastră pop-up care arată ca o solicitare de permisiune de la un software de încredere. În loc să acordați permisiunea, de exemplu, antivirusului dvs. de a scana porțiunea utilizatorului din spațiul de stocare în cloud, acordați din neatenție drepturi de acces la malware. Malware-ul poate accesa acum acel cloud.

Odată ce computerul victimei este infectat, malware-ul se poate distribui în rețea de la o mașină la alta și de la un server la altul. Unele ransomware caută un serviciu de sincronizare a fișierelor care comunică cu un serviciu cloud. Se folosește de aceasta și obține acces la stocarea în cloud, infectând și criptând datele din cloud.

Odată ce accesul la cloud a fost stabilit, ransomware-ul declanșează și criptează computerele locale. Așteaptă până când fie s-a infiltrat cu succes în cloud – ceea ce nu poate face dacă criptează imediat toate computerele locale – sau decide că nu există nicio rută către cloud pe care să o poată compromite și se stabilește pe o infecție pur locală.

Conexiune de la distanță cu acreditări furate

Al doilea tip de atac infectează dispozitivul local sau mobil al victimei. Fură acreditările în cloud ale utilizatorului prin monitorizarea conexiunilor la rețea și urmărirea încercărilor de autentificare. Poate direcționa utilizatorul către un portal web fals mascandu-se drept platforma reală cloud. Când victima se conectează la portalul fraudulos, aceasta le recoltează acreditările.

Urmărind apăsările de taste de pe computerul local infectat, detaliile conexiunii pot fi copiate de malware pe un computer la distanță. Aceleași acreditări sunt introduse automat de computerul de la distanță. Chiar dacă este utilizată autentificarea cu doi factori, malware-ul local prinde apăsările de taste de pe dispozitivul victimei și le transmite la computerul de la distanță al infractorilor cibernetici.

O autentificare simultană de pe computerul infractorilor cibernetici funcționează deoarece ID-ul și parola pe care le-au ascultat cu urechea de pe computerul victimei sunt corecte, iar verificarea 2FA este tokenul de verificare curent, valid. Deci, infractorii cibernetici au acum o conexiune la cloud-ul tău de pe propriul computer. Ar putea fi stocarea datelor sau poate fi e-mailul corporativ.

Atacarea furnizorului de cloud

Un atac de succes asupra unui furnizor de cloud este o lovitură majoră pentru infractorii cibernetici – și o zi de plată mare. Ei pot compromite întreaga platformă și pot extorca răscumpărări de la unii sau chiar toți clienții serviciului respectiv.

La sfârșitul lunii august 2019, Digital Dental Record și PerCSoft le-au spus celor 400 de clienți – toate cabinetele stomatologice – că platforma lor cloud DDS Safe pentru stomatologi a fost lovită de ransomware. Aproximativ 400 de cabinete dentare au avut datele criptate.

Pe 12 august 2021, Microsoft a fost notificat cu privire la o vulnerabilitate în baza sa de date Azure Cosmos, software-ul care se află în centrul ofertei sale Azure cloud. Le-a fost raportat de un cercetător de securitate. Microsoft a atenuat imediat vulnerabilitatea. Nu există dovezi că vulnerabilitatea a fost exploatată.

Vulnerabilitatea a fost într-un produs open-source numit Jupyter Notebook, care a fost integrat în Cosmos DB și activat implicit. Microsoft a răspuns notificării de la cercetătorul de securitate cu acțiuni de tip play-for-play, controlând și atenuând imediat situația. Un apel strâns, dar nici o încălcare efectivă. Dar arată că toată lumea poate fi vulnerabilă.

Cine este responsabil pentru securitatea în cloud?

Responsabilitatea este împărțită, în măsura în care fiecare aveți responsabilități. Dar tu ești responsabil pentru diferite părți ale puzzle-ului. Un furnizor de cloud este responsabil de asigurarea faptului că datele nu pot fi accesate fără acreditări legitime. Este de datoria lor să se asigure că datele dumneavoastră nu sunt expuse riscurilor din cauza unei vulnerabilități. Și dacă această vulnerabilitate este exploatată de un infractor cibernetic, ei sunt responsabili pentru încălcare.

Cu toate acestea, aceștia nu sunt responsabili pentru vulnerabilitățile sau exploitele care apar ca urmare a parolelor slab alese sau implicite, a software-ului configurat greșit – chiar dacă este vorba de software pe care vi l-au furnizat ca parte a serviciului pentru dvs. – și nici pentru defecțiuni din partea personalului dvs. . Dacă cineva din organizația dvs. este pradă unui atac de tip phishing, furnizorul dvs. de cloud nu este responsabil.

Unele organizații presupun că toată securitatea pentru cloud revine furnizorului de cloud. Nu este deloc cazul. Este important să înțelegem exact unde se află responsabilitățile și unde este limita pentru fiecare parte. Aceasta este cheia pentru a deveni sigur. Trebuie să înțelegeți ce furnizează, astfel încât să puteți vedea ce trebuie să oferiți pe deasupra. Și să știi unde se află granițele responsabilității este singura modalitate prin care poți să te asiguri că nu există zone nepăzite sau neglijate la marginea dintre tine și furnizorul tău.

Cum să vă apărați datele

Cere claritate. Furnizorii de cloud reputați vor fi planificat cum să se recupereze după un atac ransomware și alte tipuri de întrerupere. O vor fi documentat și repetat. Este posibil ca aceștia să nu poată împărtăși planul – ar putea oferi informații care sunt doar pentru uz intern și le-ar putea slăbi în mod fezabil securitatea – dar puteți întreba când a fost testat sau revizuit ultima dată. Este posibil să fie în măsură să vă împărtășească rezultatele ultimului parcurs al planului.

Fii clar unde se opresc responsabilitățile lor și unde încep ale tale. Citiți literele mici.

Presupuneți că se poate întâmpla ce este mai rău și planificați-vă pentru asta. Dacă furnizorul dvs. de cloud are o întrerupere, cum veți continua să lucrați? De exemplu, puteți utiliza mai mult de un furnizor de cloud și puteți adopta o strategie multi-cloud. Același lucru poate fi realizat cu o strategie hibridă, utilizând servere on-premise. Indiferent de planul dvs., verificați dacă funcționează înainte de a-l avea nevoie.

Efectuați întotdeauna copii de siguranță, stocați-le în mai multe locații și faceți restaurări de testare. Actualizați sistemele de operare, software-ul și firmware-ul dispozitivului de rețea cu corecții de securitate și de remediere a erorilor. Utilizați o suită de securitate pentru punctele terminale, lider de piață, care acoperă antivirus și anti-malware.

Deoarece aproape 70% dintre atacurile ransomware sunt inițiate prin e-mailuri de phishing, asigurați-vă că personalul dumneavoastră primește cursuri de conștientizare a securității cibernetice și că acesta este reîncărcat periodic. Un atac benign de phishing vă oferă o măsură a cât de susceptibilă este forța de muncă dumneavoastră la acest tip de inginerie socială. Există servicii online pe care le puteți utiliza și firme de securitate care vor desfășura campanii de phishing benigne pentru dvs.

Un pic de educație poate salva multă durere de inimă. Și eventual afacerea ta.

Sursa