Ransomware nyní představuje lákavou příležitost pro kyberzločince, protože se v něm soustřeďují miliardy dolarů. Postupem času se pochopitelně vyvíjel, aby byl efektivnější a dosahoval maximálních zisků. Hackeři už upustili od náhodných ransomwarových útoků. Nyní se zaměřují na vyšší cíle – na velké společnosti v průmyslových odvětvích, u kterých očekávají, že budou svolné zaplatit výkupné výměnou za bezpečné navrácení jejich souborů. Vzhledem k tomu, že útočníci investují do zdokonalování svých taktik, aby ze svých obětí dostali více peněz, je pravděpodobné, že se příští generace ransomwaru zaměří na cloud. Úložiště dat ani virtuální prostředí už nebudou v bezpečí.
Když se ransomware v roce 2013 začal masivně rozšiřovat, CryptoLocker útočil na všechny a všechno – od generálních ředitelů společností až po seniory. Přestože výkupné zaplatilo jen malé procento obětí, útočníci vyslali do světa tak velký objem ransomwaru, že na akci stejně vydělali. Tento širokospektrální postup vyšel z módy mezi lety 2016 a 2017, kdy se zlepšila antivirová ochrana a došlo ke snížení míry úspěšnosti ransomwarových útoků. Místo toho si začali útočníci vybírat průmyslová odvětví, ve kterých i malý časový prostoj může způsobit společnostem obrovské škody. Zejména se jim zalíbilo atakovat oblasti, jako je zdravotnictví, státní správa a průmyslové kontrolní systémy (Industrial Control Systems). Útočníci volili své cíle pečlivěji a opatrněji – věnovali více času a úsilí tomu, aby se dostali dovnitř systému a požadovali vyšší výkupné. Stručně řečeno přizpůsobili svou taktiku maximalizaci zisku.
Proč bude v ohrožení právě cloud?
1) Cloud dosud zůstává ransomwarem téměř nedotčen, takže představuje pro útočníky novou příležitost.
2) Data a služby uložené nebo spuštěné přes cloud jsou nyní klíčové pro provoz mnoha podniků. Před pěti lety byla společnost schopná fungovat nějakou dobu i bez urychleného obnovení cloudu, takže tlak na výkupné nebyl tak vysoký. Jakmile však ztratí firma přístup ke svým veřejným nebo soukromým cloudům nyní, je ochromena. Tím vzniká obrovský tlak na rychlé obnovení služeb. V posledních letech jsme byli svědky takových útoků zejména při napadení nemocnic, elektráren či územních celků.
3) Cloud je atraktivní agregační bod, který útočníkům umožňuje přístup k mnohem většímu počtu obětí. Například napadení jediného fyzického serveru Amazonu může uzamknout data desítky dalších společností, které si přes Amazon Web Services (AWS) pronajímají cloudový prostor. Během útoků v prvním a druhém čtvrtletí roku 2019 byly odcizeny nástroje pro správu a management mnoha různých poskytovatelů služeb. Útočníci je použili jako strategický vstupní bod, ze kterého šířili ransomware Sodinokibi a Grandcab k dalším uživatelům. Stejný princip by mohl být aplikován i zde – napadení centrálního cloudu by umožnilo zasáhnout desítky nebo stovky dalších obětí.
Bezpečnost cloudových služeb
Jestliže nechtějí jít podniky kyberzločincům na ruku, potřebují řádně zabezpečit svůj cloud. Mnoho uživatelů se domnívá, že se díky využívání IaaS (Infrastructure as a service) nemusí starat o zabezpečení svých dat, která svěřují například Microsoftu nebo Amazonu. To však není tak docela pravda.
Většina veřejných poskytovatelů cloudových služeb sice aplikuje základní bezpečností mechanismy, ty však nemusí zahrnovat novější bezpečnostní služby potřebné k ochraně před evazivními hrozbami. Převážná část poskytovatelů IaaS nabízí elementární ochranu před malwarem, nikoliv však sofistikovanější nástroje nebo antimalwarová řešení založená na strojovém učení, která jsou dnes uživatelům k dispozici. Výzkum společnosti WatchGuard ukázal, že třetina až polovina všech malwarových útoků využívá obfuskační či evazivní techniky, aby obešly tradiční antivirová řešení založená na signaturách. Bez aktivnější antimalwarové ochrany může moderní ransomware snadno obejít základní zabezpečení cloudu. Naštěstí se dá bez problémů sehnat virtuální nebo cloudová verze většiny řešení pro zabezpečení sítě. Proč je nenasadit včas, abyste ubránili své cloudové prostředí?
Nesprávné konfigurace nebo lidské chyby při nastavování cloudových oprávnění a zásad vytvářejí slabá místa, která mohou útočníky zlákat. Každá organizace, která spoléhá na veřejný nebo soukromý cloud, by měla toto prostředí chránit řádným zabezpečením S3 bucketových konfigurací, pečlivou správou oprávnění k souborům i vyžadováním vícefaktorové autentizace pro přístup.
Neodkládejte potřebné kroky na zítřek, udržujte svůj cloud v bezpečí už nyní. V blízké budoucnosti by se vám tato prozíravost mohla vyplatit.
Zdroj: Darkreading