Что такое RansomCloud и как защитить себя? — CloudSavvy ИТ

Tada Images / Shutterstock

RansomCloud — это программа-вымогатель, предназначенная для проникновения и шифрования облачных хранилищ. Ответственность за безопасность ваших данных не так проста, как вы думаете. Мы расскажем вам то, что вам нужно знать.

Программы-вымогатели и RansomCloud

Программы-вымогатели — это тип вредоносного ПО, которое заражает компьютеры и серверы жертвы. Он шифрует файлы и данные на этих устройствах, делая сеть неработоспособной. Чтобы обратить процесс, известный как дешифрование, требуется уникальный ключ дешифрования. Злоумышленники вымогают выкуп в обмен на ключ.

Программы-вымогатели — это большой бизнес. С начала пандемии COVID-19 количество атак программ-вымогателей увеличилось на 600%. В 67% случаев для ловли жертвы используются фишинговые письма. Фишинговые атаки — это электронные письма, которые созданы для имитации электронных писем из надежных источников, таких как онлайн-сервисы, банки и другие платежные платформы, такие как PayPal.

Электронные письма пытаются вызвать ощущение срочности. Возникла проблема, которую нужно решить прямо сейчас, или скоро закрывается специальное предложение — не упустите! Открытие испорченного вложения заразит ваш компьютер. Нажав на вредоносную ссылку, вы попадете на поддельный веб-сайт, который будет собирать ваши учетные данные или загружать вредоносное ПО на ваш компьютер.

Между тем переход к облачным вычислениям не ослабевает. Одно из предполагаемых преимуществ — повышенная надежность работы и непрерывность бизнеса. Инфраструктура, лежащая в основе облачных предложений от поставщиков услуг, таких как Microsoft, Google, Amazon, соответствует мировому уровню. И если кто-то знает безопасность, так это те титаны технологий, верно? Это не означает, что эти платформы — или любая другая платформа, если на то пошло — поставляются с аккуратно разделенной системой безопасности «установил и забыл». Как и следовало ожидать, это немного сложнее.

Киберпреступники начали атаковать облачные платформы и сервисы с помощью атак программ-вымогателей, что дало название «облаку-вымогателю». Независимо от того, используете ли вы общедоступное облако, гибридное облако или мультиоблачную инфраструктуру, киберпреступники хотят получить доступ к вашим данным. Чем больше данных у вас есть в одном месте, тем более привлекательной становится это место. Если в том же хранилище данных хранятся данные для многих предприятий, его ценность для киберпреступников возрастает.

Типы атак RansomCloud

Существует три типа атак, которые могут заразить облачное хранилище.

Копирование при синхронизации

Большинство программ-вымогателей доставляются с помощью фишинговых атак. Первый тип атаки ransomcloud заражает локальный компьютер жертвы. Фишинговые сообщения электронной почты основываются на действиях жертвы, таких как попытка открыть поддельное вложение или щелчок по ссылке. Маловероятно, что вложение будет содержать саму вредоносную программу. Чаще они запускают небольшую программу под названием «дроппер». Дроппер работает в фоновом режиме и загружает и устанавливает фактическое вредоносное ПО. Щелчок по ссылке также может инициировать загрузку.

Вредоносная программа может отображать всплывающее окно для пользователя, которое выглядит как запрос разрешения от части доверенного программного обеспечения. Вместо того, чтобы дать разрешение, скажем, вашему антивирусу на сканирование пользовательской части вашего облачного хранилища, вы непреднамеренно предоставляете права доступа вредоносной программе. Теперь вредоносная программа может получить доступ к этому облаку.

После заражения компьютера жертвы вредоносная программа может распространяться по сети с машины на машину и с сервера на сервер. Некоторые программы-вымогатели ищут службу синхронизации файлов, которая обменивается данными с облачной службой. Он подключается к этому и получает доступ к облачному хранилищу, заражая и шифруя данные в облаке.

После установления доступа к облаку программа-вымогатель запускает и шифрует локальные компьютеры. Он ждет, пока либо успешно проникнет в облако — чего он не может сделать, если сразу зашифровать все локальные компьютеры, — либо решит, что нет пути к облаку, который он может скомпрометировать, и остановится на чисто локальном заражении.

Удаленное соединение с украденными учетными данными

Второй тип атаки заражает локальное или мобильное устройство жертвы. Он крадет учетные данные пользователя в облаке, отслеживая сетевые подключения и отслеживая попытки аутентификации. Он может направить пользователя на поддельный веб-портал, маскирующийся под настоящую облачную платформу. Когда жертва входит в мошеннический портал, она собирает ее учетные данные.

Отслеживая нажатия клавиш на зараженном локальном компьютере, вредоносная программа может скопировать данные о подключении на удаленный компьютер. Те же учетные данные вводятся автоматически удаленным компьютером. Даже если используется двухфакторная аутентификация, локальная вредоносная программа улавливает нажатия клавиш на устройстве жертвы и передает их на удаленный компьютер киберпреступников.

Одновременный вход с компьютера киберпреступников работает, потому что идентификатор и пароль, которые они перехватили с компьютера жертвы, верны, а проверка 2FA является текущим действующим токеном проверки. Таким образом, киберпреступники теперь подключены к вашему облаку со своего компьютера. Это может быть хранилище данных или корпоративная электронная почта.

Атака на облачного провайдера

Успешная атака на облачного провайдера — это крупный переворот для киберпреступников, а также большая зарплата. Они могут скомпрометировать всю платформу и вымогать выкуп у некоторых или даже у всех клиентов этой службы.

В конце августа 2019 года Digital Dental Record и PerCSoft сообщили своим 400 клиентам — все стоматологические кабинеты — что их облачная платформа DDS Safe для стоматологов был поражен программой-вымогателем. Данные примерно 400 стоматологических кабинетов были зашифрованы.

12 августа 2021 года Microsoft была уведомлена об уязвимости в своей База данных Azure Cosmos, программное обеспечение, лежащее в основе облачного предложения Azure. Об этом им сообщил исследователь безопасности. Microsoft немедленно устранила уязвимость. Нет никаких доказательств того, что уязвимость была использована.

Уязвимость была в продукте с открытым исходным кодом под названием Блокнот Jupyter который был интегрирован в Cosmos DB и включен по умолчанию. Microsoft отреагировала на уведомление исследователя безопасности с помощью интерактивных действий из учебника, немедленно контролируя и смягчая ситуацию. Тесный вызов, но без фактического нарушения. Но это показывает, что каждый может быть уязвимым.

Кто отвечает за безопасность облака?

Ответственность разделяется постольку, поскольку у каждого из вас есть обязанности. Но вы отвечаете за разные части головоломки. Облачный провайдер несет ответственность за невозможность доступа к данным без законных учетных данных. Их обязанность — обеспечить, чтобы ваши данные не подвергались риску из-за уязвимости. И если киберпреступник использует эту уязвимость, они несут ответственность за нарушение.

Однако они не несут ответственности за уязвимости или эксплойты, которые возникают в результате неправильно выбранных паролей или паролей по умолчанию, неправильно настроенного программного обеспечения — даже если это программное обеспечение, которое они предоставили вам как часть их услуг, — или за ошибки со стороны вашего персонала. . Если кто-то в вашей организации станет жертвой фишинг-атаки, ваш облачный провайдер не несет ответственности.

Некоторые организации предполагают, что вся безопасность облака ложится на поставщика облачных услуг. Это совсем не так. Важно понимать, в чем именно заключаются обязанности, и где отсечка для каждой стороны. Это ключ к обеспечению безопасности. Вы должны понимать, что они предоставляют, чтобы вы могли видеть, что вам нужно предоставить помимо этого. А знание границ ответственности — единственный способ убедиться, что на границах между вами и вашим поставщиком услуг нет неохраняемых или заброшенных участков.

Как защитить ваши данные

Просите ясности. Авторитетные облачные провайдеры спланировали, как восстановиться после атаки программ-вымогателей и других типов сбоев. Они это задокументируют и отрепетируют. Они могут не иметь возможности поделиться планом — он может выдавать информацию, предназначенную только для внутреннего использования, и потенциально может ослабить их безопасность, — но вы можете спросить, когда он в последний раз проверялся или проверялся. Они могут поделиться с вами результатами последней проверки плана.

Четко укажите, где их обязанности заканчиваются, а где начинаются. Прочтите мелкий шрифт.

Предполагайте, что худшее может случиться, и планируйте это. Если у вашего облачного провайдера произойдет сбой, как вы продолжите работать? Например, вы можете использовать более одного поставщика облачных вычислений и принять стратегию нескольких облаков. То же самое может быть достигнуто с помощью гибридной стратегии с использованием локальных серверов. Каким бы ни был ваш план, убедитесь, что он работает, прежде чем он понадобится.

Всегда делайте резервные копии, храните их в нескольких местах и ​​выполняйте тестовое восстановление. Обновляйте операционные системы, программное обеспечение и прошивку сетевых устройств с помощью исправлений безопасности и исправлений ошибок. Используйте лучший на рынке пакет средств защиты конечных точек, включающий антивирус и защиту от вредоносных программ.

Поскольку почти 70% атак программ-вымогателей инициируются через фишинговые электронные письма, убедитесь, что ваши сотрудники проходят обучение по вопросам кибербезопасности и периодически пополняются. Мягкая фишинговая атака дает вам представление о том, насколько ваши сотрудники подвержены этому типу социальной инженерии. Есть онлайн-сервисы, которыми вы можете пользоваться, и охранные фирмы, которые проведут для вас безопасные фишинговые кампании.

Небольшое образование может спасти много душевных страданий. И, возможно, ваш бизнес.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *