Ransomcloud: a última geração de ransomware tem como alvo a nuvem

Ransomcloud: a última geração de ransomware tem como alvo a nuvem já que os cibercriminosos reconheceram essa mudança e dados valiosos agora são mantidos na nuvem.

Dentro da multidão de tipos de malware existentes, o ransomware está liderando o grupo. Enquanto outros softwares maliciosos saqueiam sistemas de computador, o ransomware vai além, fazendo exigências, impedindo o uso de informações e chantageando suas vítimas sob ameaças multiplicas. É a antiga tática de extorsão, mas reencenada no mundo digital. À medida que nos tornamos mais dependentes da Internet, o campo de jogo para essa variedade específica de malware se expandiu imensamente. Ao mesmo tempo, as ameaças de segurança cibernética estão crescendo – em 2020, os ataques de malware e ransomware aumentaram 358% e 435%, respectivamente – e estão superando as sociedades.

Embora o ransomware possa ter começado como uma operação de oportunidade, desde então se tornou uma empresa criminosa estabelecida. Assim como uma empresa legítima se adapta para permanecer competitiva, as gangues de ransomware fazem o mesmo. A mudança em massa para a nuvem é um excelente exemplo disso. O ransomware invade e rouba dados, e-mails, credenciais de funcionários e clientes, e então tenta encontrar todos os tipos de outras maneiras de extrair valor de sua empresa

A migração para a nuvem não é um fenômeno novo, mas a pandemia certamente a acelerou. Para manter a continuidade dos negócios, as empresas transferiram seus ativos e operações digitais para um ambiente de computação em nuvem, minimizando o uso de bancos de dados locais. Infelizmente, os cibercriminosos reconheceram essa mudança e os dados valiosos agora mantidos na nuvem, levando a ataques de ‘ransomcloud‘.

Esses ataques ocorrem por meio de três métodos principais: File Sync Piggybacking, conexão remota com credenciais roubadas e ataque ao provedor de nuvem. Descrevemos aqui como essas abordagens funcionam de acordo com artigo plublicado pelo InfoSecurity

 

File Sync Piggybacking

O primeiro tipo de ataque de ransomcloud aproveita o phishing para infectar o computador local da vítima. No entanto, ao contrário da crença popular, o anexo ou link de e-mail malicioso geralmente não contém a carga útil do malware. Em vez disso, ele entrega um pequeno programa que é executado em segundo plano e instala o malware.

Uma vez no sistema, o malware se disfarça como uma solicitação de permissão pop-up de um software confiável. Ao aprovar, o malware é ativado e pode se disseminar por toda a rede para qualquer máquina conectada. À medida que se espalha, os agentes de ameaças procuram serviços de sincronização de arquivos interagindo com serviços em nuvem. Uma vez identificado, o ransomware pega carona na sincronização de arquivos, permitindo que os agentes de ameaças acessem, infectem e criptografem dados na nuvem.

Se a organização tiver medidas como air gapping (medida de segurança que envolve isolar um computador ou rede e impedir que ele estabeleça uma conexão externa), o ransomware pode não conseguir comprometer uma rota para a nuvem e se contentar com uma infecção local. Isso explica o aumento do uso do Google Drive, Slack, Microsoft Teams etc., para distribuir software malicioso. Esses aplicativos ficam entre a nuvem e os dispositivos locais. Uma vez comprometido, torna-se incrivelmente difícil reverter o impacto. É aqui que as ferramentas avançadas do agente de segurança de acesso à nuvem (CASB) se mostram úteis, pois ficam entre as infraestruturas no local e na nuvem, verificando o tráfego entre elas.

 

Conexão remota com credenciais roubadas

A segunda tática faz com que os agentes de ameaças monitorem as conexões de rede para tentativas de autenticação. Em seguida, eles capturam as credenciais de nuvem do usuário, geralmente apresentando um portal de login falso disfarçado de plataforma de nuvem real. Ao rastrear as teclas digitadas no computador local infectado, os detalhes da conexão podem ser copiados para um computador remoto e inseridos automaticamente na plataforma de nuvem real.

À medida que o malware local captura e transfere as teclas digitadas para o computador remoto, os cibercriminosos podem acessar a nuvem por meio de login simultâneo. Portanto, potencialmente ignorando os métodos de autenticação de dois fatores. Agora, eles têm uma conexão com a nuvem e o mesmo acesso que o usuário clonado.

 

Atacando o provedor de nuvem

Por fim, um ataque de ransomcloud pode surgir ao atingir diretamente o provedor de nuvem. Esse é o método mais prejudicial e lucrativo para o invasor porque, se for bem-sucedido, significa que comprometeu toda a plataforma de nuvem. Em suma, eles poderiam exigir resgates de todos os clientes do serviço comprometido.

Considere a nuvem do Microsoft Azure, que tem uma vulnerabilidade em agosto de 2021, que permitiu que invasores escalassem privilégios e se movessem lateralmente pela nuvem da Microsoft. Embora rapidamente corrigido sem ataques relatados, este incidente destaca o risco.

 

Responsabilidade pela segurança na nuvem

Tendo agora investigado como a nuvem pode ser comprometida, podemos perguntar quem tem a responsabilidade de manter sua segurança? A resposta, é uma responsabilidade compartilhada. Fornecedores de nuvem, empresas ou seus provedores de serviços gerenciados e até funcionários individuais desempenham um papel. É preciso simplesmente estabelecer a responsabilidade no início do processo de migração para a nuvem.

No entanto, é importante lembrar que uma empresa é sempre responsável por seus dados, independentemente de onde estejam hospedados. Eles precisam estar atentos às suas políticas permissivas, ameaças internas, campanhas de phishing e credenciais vazadas. A melhor maneira de combater alguns desses desafios é adotar medidas de práticas recomendadas, como seguir o princípio do privilégio mínimo (least privilege) para limitar as ações prejudiciais se uma conta na nuvem for invadida. Isso também significa investir em treinamento de conscientização de segurança para conter tentativas bem-sucedidas de phishing. As empresas também devem garantir uma visibilidade clara de seus ambientes de nuvem para detectar e corrigir problemas o quanto antes.

Fonte: InfoSecurity

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!