Программы-вымогатели, которые сегодня массово переориентируются на взлом облаков, представляют особую угрозу. Данный штамм вредоносного ПО адаптируется в стремительно меняющемся мире так же быстро, как это делает законный бизнес, чтобы оставаться конкурентоспособным. Ситуация усложняется тем фактом, что в целом безопасность облачной инфраструктуры – это проблема для многих организаций: найти специалистов по ИБ с опытом работы в облаке непросто. Одновременно с этим бизнес-модель программ-вымогателей становится все более профессиональной, хакеры через киберпреступные рынки находят специализированных разработчиков вредоносных программ для качественного и эффективного способа проведения зловредных операций.
Атаки вымогателей, направленные на данные, хранящиеся в облачных сервисах, называются ransomcloud. Они имеют различные формы, для каждой из которых нужно соблюдать свои определенные меры безопасности. Эксперты по информационной безопасности считают, что атаки на облачные хранилища будут только развиваться в связи с всплеском программ-вымогателей.
- Первая форма атаки ransomcloud заключается в том, что хакеры получают прямой доступ к облачным системам организации через фишинг, а затем шифруют или извлекают их содержимое. Стоит обратить внимание, что вложение с электронной почты или ссылка не содержат полезной нагрузки вредоносного ПО. Вместо этого оно заносит небольшую программу, которая работает в фоновом режиме и устанавливает вирус. Попав в систему, вредонос маскируется под запрос разрешения на всплывающее окно от доверенного программного обеспечения. Если пользователь одобряет запрос, вымогатель активируется и может распространиться по всей сети на любую подключенную машину. По мере распространения преступники ищут службы синхронизации файлов, которые взаимодействуют с облачными службами. После идентификации программа-вымогатель применяет синхронизацию файлов, позволяя злоумышленникам получать доступ, заражать и шифровать данные в облаке. Однако если в организации есть воздушный зазор, то вымогатели, вероятно, не смогут скомпрометировать маршрут к облаку и вместо этого остановятся на локальном заражении.
- При втором виде атаки ransomcloud злоумышленники отслеживают сетевые подключения для попыток аутентификации. После они захватывают облачные учетные данные пользователя, как правило, представляя поддельный портал входа в систему. Отслеживая нажатия клавиш на зараженном локальном компьютере, сведения о подключении могут быть скопированы на удаленный компьютер и автоматически введены в реальную облачную платформу. Так как локальное вредоносное ПО захватывает и передает нажатия клавиш на удаленный компьютер, преступники могут получить доступ к облаку через одновременный вход в систему, обходя методы двухфакторной аутентификации. Они получают то же подключение к облаку и тот же доступ, что и у клонированного пользователя.
- Третья тактика ransomcloud напрямую нацелена на конкретного облачного провайдера, чтобы получить доступ к данным его клиентов. Эксперты считают, что это самый разрушительный и самый прибыльный метод для хакера. Если он проведет успешную атаку, это будет значить, что он скомпрометировал всю облачную платформу и может потребовать выкуп от всех клиентов взломанного сервиса.
Исходя из вышесказанного, следует вывод о том, что ответственность за поддержание облака в безопасности является общей. Поставщики облачных услуг, сами компании и даже отдельные сотрудники – важные звенья в этой цепи.