RansomCloud é um ransomware projetado para se infiltrar e criptografar o armazenamento em nuvem. A responsabilidade pela segurança de seus dados não é tão direta quanto você pode imaginar. Nós dizemos o que você precisa saber.
Ransomware e RansomCloud
Ransomware é um tipo de malware que infecta os computadores e servidores da vítima. Ele criptografa os arquivos e dados nesses dispositivos, tornando a rede inoperante. Para reverter o processo, conhecido como descriptografia, é necessária uma chave de descriptografia exclusiva. Os cibercriminosos extorquem um resgate em troca da chave.
Ransomware é um grande negócio. Desde o início da pandemia COVID-19, os ataques de ransomware aumentaram 600%. Em 67% dos casos, os e-mails de phishing são usados para enganar a vítima. Ataques de phishing são emails criados para simular emails de fontes confiáveis, como serviços online, bancos e outras plataformas de pagamento como o PayPal.
Os e-mails tentam gerar um senso de urgência. Há um problema que precisa ser resolvido agora ou uma oferta especial será encerrada em breve – não perca! Abrir um anexo contaminado infectará seu computador. Clicar em um link malicioso o levará a um site falso que coletará suas credenciais ou baixará malware para o seu computador.
Enquanto isso, a mudança para a computação em nuvem continua inabalável. Uma das atrações percebidas é a robustez aprimorada da operação e a continuidade superior dos negócios. A infraestrutura que sustenta as ofertas de nuvem de provedores de serviços como Microsoft, Google, Amazon é de classe mundial. E se alguém conhece segurança, deve ser esses titãs da tecnologia, certo? Isso não significa que essas plataformas – ou qualquer outra plataforma, por falar nisso – vêm com segurança do tipo “instalar e esquecer” ordenadamente. Como você pode esperar, é um pouco mais complicado do que isso.
Os cibercriminosos começaram a atacar plataformas e serviços em nuvem com ataques de ransomware, dando origem ao nome “ransomcloud”. Quer você adote uma nuvem pública, uma nuvem híbrida ou uma infraestrutura de várias nuvens, os cibercriminosos querem obter seus dados. Quanto mais dados você tiver em um lugar, mais atraente será o alvo que esse lugar se tornará. Se esse mesmo armazenamento de dados mantiver os dados de muitas empresas, seu valor para os cibercriminosos aumentará.
RELACIONADO: Como se preparar e lutar contra um ataque de ransomware
Tipos de ataque RansomCloud
Existem três tipos de ataque que podem infectar o armazenamento em nuvem.
Piggy-Backing na sincronização
A maioria dos ransomware é fornecida por ataques de phishing. O primeiro tipo de ataque ransomcloud infecta o computador local da vítima. Os emails de phishing dependem de uma ação da vítima, como tentar abrir um anexo falso ou clicar em um link. É improvável que o anexo contenha o próprio malware. Mais frequentemente, eles executam um pequeno programa chamado “conta-gotas”. O conta-gotas é executado em segundo plano e baixa e instala o malware real. Clicar em um link também pode iniciar downloads.
O malware pode apresentar um pop-up ao usuário que parece uma solicitação de permissão de um software confiável. Em vez de dar permissão para, digamos, seu antivírus fazer a varredura da parte do usuário de seu armazenamento em nuvem, você está inadvertidamente dando direitos de acesso ao malware. O malware agora pode acessar essa nuvem.
Depois que o computador da vítima é infectado, o malware pode se distribuir pela rede de máquina para máquina e de servidor para servidor. Alguns ransomware procuram um serviço de sincronização de arquivos que está se comunicando com um serviço de nuvem. Ele pega carona nisso e ganha acesso ao armazenamento em nuvem, infectando e criptografando os dados na nuvem.
Assim que o acesso à nuvem for estabelecido, o ransomware então dispara e criptografa os computadores locais. Ele espera até que tenha se infiltrado com sucesso na nuvem – o que não pode acontecer se criptografar todos os computadores locais imediatamente – ou decide que não há nenhuma rota para a nuvem que possa comprometer e decide sobre uma infecção puramente local.
RELACIONADO: As Muitas Faces da Engenharia Social
Conexão remota com credenciais roubadas
O segundo tipo de ataque infecta o dispositivo local ou móvel da vítima. Ele rouba as credenciais de nuvem do usuário, monitorando as conexões de rede e observando as tentativas de autenticação. Ele pode direcionar o usuário a um portal da web falso, mascarado como a plataforma de nuvem real. Quando a vítima acessa o portal fraudulento, ela coleta suas credenciais.
Ao rastrear as teclas digitadas no computador local infectado, os detalhes da conexão podem ser copiados pelo malware para um computador remoto. As mesmas credenciais são inseridas automaticamente pelo computador remoto. Mesmo se a autenticação de dois fatores estiver em uso, o malware local captura as teclas digitadas no dispositivo da vítima e as retransmite para o computador remoto dos cibercriminosos.
Um login simultâneo do computador dos cibercriminosos funciona porque a ID e a senha que eles espionaram do computador da vítima estão corretas e a verificação 2FA é o token de verificação válido e atual. Portanto, os cibercriminosos agora têm uma conexão com sua nuvem a partir de seus próprios computadores. Pode ser armazenamento de dados ou e-mail corporativo.
RELACIONADO: Usando 2FA? Excelente. Mas não é infalível
Atacando o provedor de nuvem
Um ataque bem-sucedido a um provedor de nuvem é um grande golpe para os cibercriminosos – e também uma grande recompensa. Eles podem comprometer toda a plataforma e extorquir resgates de alguns ou até de todos os clientes desse serviço.
No final de agosto de 2019, a Digital Dental Record e a PerCSoft disseram a seus 400 clientes – todos cirurgias dentais – que sua plataforma de nuvem DDS Safe para dentistas havia sido atingida por ransomware. Aproximadamente 400 consultórios odontológicos tiveram seus dados criptografados.
Em 12 de agosto de 2021, a Microsoft foi notificada sobre uma vulnerabilidade em seu Azure Cosmos Database, o software no centro de sua oferta de nuvem Azure. Foi relatado a eles por um pesquisador de segurança. A Microsoft mitigou imediatamente a vulnerabilidade. Não há evidências de que a vulnerabilidade foi explorada.
A vulnerabilidade estava em um produto de código aberto chamado Jupyter Notebook que foi integrado ao Cosmos DB e ativado por padrão. A Microsoft respondeu à notificação do pesquisador de segurança com ações play-for-play de livros didáticos, controlando e atenuando a situação imediatamente. Uma chamada fechada, mas nenhuma violação real. Mas mostra que todos podem ser vulneráveis.
RELACIONADO: Por que o programa Secure Open Source apoiado pelo Google é tão importante
Quem é responsável pela segurança da nuvem?
A responsabilidade é compartilhada, na medida em que cada um de vocês tem responsabilidades. Mas você é responsável por diferentes partes do quebra-cabeça. Um provedor de nuvem é responsável por garantir que os dados não possam ser acessados sem credenciais legítimas. É seu dever garantir que seus dados não sejam expostos a riscos devido a uma vulnerabilidade. E se essa vulnerabilidade for explorada por um cibercriminoso, eles serão responsáveis pela violação.
No entanto, eles não são responsáveis por vulnerabilidades ou explorações que ocorrem como resultado de senhas mal escolhidas ou padrão, software mal configurado – mesmo se for software que eles forneceram como parte de seu serviço para você – nem por falhas por parte de sua equipe . Se alguém em sua organização for vítima de um ataque de phishing, seu provedor de nuvem não será responsável.
Algumas organizações presumem que toda a segurança da nuvem recai sobre o provedor da nuvem. Esse não é o caso. É importante entender exatamente onde estão as responsabilidades e onde é o limite para cada parte. Esta é a chave para se tornar seguro. Você deve entender o que eles estão fornecendo para que você possa ver o que você precisa fornecer além disso. E saber onde estão os limites da responsabilidade é a única maneira de garantir que não haja áreas desprotegidas ou negligenciadas entre você e seu provedor.
Como defender seus dados
Peça clareza. Provedores de nuvem respeitáveis terão planejado como se recuperar de um ataque de ransomware e outros tipos de interrupção. Eles terão documentado e ensaiado. Eles podem não ser capazes de compartilhar o plano – ele pode fornecer informações que são apenas para uso interno e pode enfraquecer a segurança deles – mas você pode perguntar quando ele foi testado ou revisado pela última vez. Eles podem compartilhar com você os resultados da última revisão do plano.
Seja claro sobre onde terminam as responsabilidades deles e onde as suas começam. Leia as letras pequenas.
Suponha que o pior pode acontecer e planeje-o. Se o seu provedor de nuvem tiver uma interrupção, como você continuará operando? Por exemplo, você pode aproveitar mais de um fornecedor de nuvem e adotar uma estratégia de várias nuvens. O mesmo pode ser alcançado com uma estratégia híbrida, utilizando servidores locais. Seja qual for o seu plano, verifique se ele funciona antes de precisar dele.
Sempre faça backups, armazene-os em vários locais e faça restaurações de teste. Atualize os sistemas operacionais, o software e o firmware do dispositivo de rede com patches de segurança e correção de bugs. Use um pacote de segurança de endpoint líder de mercado, abrangendo antivírus e antimalware.
Como quase 70% dos ataques de ransomware são iniciados por meio de e-mails de phishing, certifique-se de que sua equipe receba treinamento de conscientização sobre segurança cibernética e que seja atualizado periodicamente. Um ataque benigno de phishing fornece uma medida de quão suscetível é sua força de trabalho a esse tipo de engenharia social. Existem serviços online que você pode usar e empresas de segurança que conduzirão campanhas de phishing benignas para você.
Um pouco de educação pode poupar muita dor de cabeça. E possivelmente seu negócio.
RELACIONADO: Quais são os três pilares da segurança cibernética?
0 Comments