A cloud ransomware-k helyzete 2024-ben
A felhőben elkövetett ransomware támadások a felhőbiztonság egyik állandóan témája. A felhőszolgáltatások természetüknél fogva előnyt jelentenek a végpont- és webszerver-alapú szolgáltatásokkal szemben, mivel a felhőszolgáltatások támadási felülete minimális. A Compute szolgáltatások kivételével, amelyek virtuális operációs rendszert futtatnak a felhőben, a felhőszolgáltatások nem biztosítanak teljes operációs rendszert, ami azt jelenti, hogy a Windows és Linux rendszereken elterjedt ransomware binárisok nem képesek hatékonyan támadni őket.
A SentinelOne számos olyan eszközt azonosított, amelyet arra terveztek, hogy webkiszolgálókat célozzanak meg ransomwarekkel, vagy hogy a felhőszolgáltatásokat kihasználva fájlokat töltsenek fel, mielőtt a végponton lévő helyi fájlokat titkosítanák. A felhőszolgáltatások elleni közvetlen ransomware támadások végrehajtására tervezett szkriptekből jóval kevesebb van, kivéve néhány, a GitHubon található red teaming eszközt.
A SentinelOne jelentése nem terjed ki a helyben hosztolt felhőinfrastruktúra, például a VMWare ESXi elleni támadásokra.
A felhőalapú ransomware támadások jellemzően felhőalapú tárolási szolgáltatásokat céloznak, mint például az Amazon Simple Storage Service (S3) vagy az Azure Blob Storage. Bár az egyes megvalósítások eltérőek, a ransomware támadáshoz a támadónak meg kell találnia egy elérhető tárolószolgáltatást, a fájl tartalmát a támadó által ellenőrzött célállomásra kell másolnia, majd a fájlokat titkosítania vagy törölnie kell az áldozat példányából. A felhőszolgáltatók (CSP-k) azonban olyan robusztus biztonsági mechanizmusokat vezettek be, amelyek minimalizálják az adatok végleges elvesztésének kockázatát. Az AWS kulcskezelési szolgáltatása (KMS) például 7 napos ablakot határoz meg a kulcs törlési kérelme és a végleges törlés között, így a felhasználóknak elegendő idő áll rendelkezésükre az S3-példányok elleni kriptográfiai ransomware támadások észlelésére és azokra való reagálásra.
A Rhino Security által ismertetett egyik leggyakrabban hivatkozott felhőalapú váltságdíjkiszabási technika az S3 bucketeket veszi célba. A támadó kihasználja egy túlságosan megengedő S3 bucket előnyeit, ahol írási szintű hozzáféréssel rendelkezik, ami gyakran a rossz konfiguráció eredménye, vagy a célzott környezetben más módon, például érvényes hitelesítő adatokkal érhető el.
Egy másik technika az Amazon Elastic Block Store (EBS) köteteit veszi célba hasonló módon: a támadó új KMS kulcsot hoz létre, pillanatképet készít az EBS kötetekről, titkosítja a köteteket, majd törli az eredeti, titkosítatlan kötetet. Erre a technikára is vonatkozik a 7 napos kulcstörlési irányelv, amely lehetőséget biztosít az ügyfél számára a rosszindulatú tevékenység azonosítására, mielőtt a kulcs örökre törlődik.
