Ransomware скоро нацелится на облако!

     По мере того, как ежедневные операции компаний становятся все более зависимыми от облачных сервисов, авторы «вымогателей» будут следовать, чтобы максимизировать прибыль. Хорошая новость: многие из лучших практик для физических серверов также применимы к облаку.

      В настоящее время Ransomware является предприятием для киберпреступников на миллиарды долларов,  как и в любой отрасли, оно со временем эволюционировало, чтобы стать более эффективным и максимизировать прибыль. 

Хакеры отошли от массовых беспорядочных атак  и теперь специально нацелены на ценные цели в компаниях и отраслях, которые, скорее всего, будут платить более высокие выкупы за безопасный возврат своих файлов. По мере того, как злоумышленники продолжают совершенствовать свою тактику, чтобы приносить больше денег, я полагаю, что новое поколение вымогателей будет предназначаться для облачных ресурсов, включая хранилища файлов, корзины Amazon S3 и виртуальные среды.

Когда в 2013 году компания CryptoLocker впервые вышла на сцену с вымогательским ПО, злоумышленники атаковали всех и каждого, от руководителей до пожилых людей. Даже если лишь небольшой процент жертв заплатил относительно небольшой выкуп, злоумышленники отправляли такой большой объем ransomewere, что они все равно зарабатывали деньги. Этот широкий подход «дробовика» вышел из моды в 2016 и 2017 годах, так как показатели успеха вымогателей снизились из-за улучшений антивирусной защиты. 

   Вместо этого злоумышленники начали нацеливаться на отрасли, в которых предприятия не могут функционировать без простоев, особенно на здравоохранение, государственные и местные органы власти и системы промышленного контроля. Злоумышленники более тщательно выбирали цели, уделяли больше времени и усилий взлому и требовали больших выкупов. Короче говоря, они адаптировали свою тактику, чтобы максимизировать прибыль.

Заглядывая в будущее можно предположить, что вымогатели нацелятся на облако по трем причинам. Во-первых, до сих пор вымогатели оставили облако в значительной степени нетронутым, поэтому для злоумышленников это новая рыночная возможность.

Во-вторых, данные и сервисы, хранящиеся или работающие в облаке, теперь имеют решающее значение для повседневной работы многих предприятий. Пять лет назад компания могла бы функционировать без своего облачного развертывания в краткосрочной перспективе, поэтому давление с целью выкупа было бы не таким высоким. Теперь, большинство компаний будут повреждены, если они потеряют доступ к своим публичным или частным облачным активам. Это создает такое же сильное давление для быстрого восстановления услуг, какое мы видели в больницах, городских органах власти и электростанциях в течение последних нескольких лет.

В-третьих, облако предлагает привлекательную точку агрегации, которая позволяет злоумышленникам получить доступ к гораздо большему числу жертв. Шифрование одного физического Amazon Web Server может заблокировать данные для десятков компаний, которые арендовали пространство на этом сервере. Например, в нескольких атаках в первом и втором кварталах 2019 года злоумышленники похитили инструменты управления несколькими поставщиками управляемых услуг и использовали их в качестве стратегической отправной точки для распространения вымогателей Sodinokibi и Gandcrab среди своих клиентов. Здесь применяется тот же принцип - взлом центральной облачной собственности позволил злоумышленникам поразить десятки или сотни жертв.

Облачная безопасность

Чтобы предотвратить атаки облачных вымогателей, предприятиям необходима облачная безопасность. Многие умные ИТ-специалисты считают, что им не нужно беспокоиться о защите данных при развертывании инфраструктуры как услуги (IaaS), потому что Microsoft или Amazon справятся с этим за них. Это не совсем так.

Хотя большинство провайдеров общедоступных облачных сервисов предоставляют базовые средства управления безопасностью, они могут не включать все новейшие службы безопасности, необходимые для предотвращения более уклончивых угроз. Например, большинство поставщиков IaaS предлагают некоторую форму базовой защиты от вредоносных программ, но не более современные решения для защиты, основанные на поведенческом или машинном обучении, которые стали доступные сегодня. Исследование WatchGuard показало, что от трети до половины всех атак вредоносных программ используют методы уклонения или обфускации, чтобы обойти традиционные антивирусные решения на основе сигнатур. Без более активного противодействия вредоносному ПО современные вымогатели могли бы обойти базовые элементы управления безопасностью в облаке. К счастью, вы можете получить виртуальную или облачную версию большинства решений для сетевой безопасности, представленных сегодня на рынке.

Наконец, неправильная конфигурация и человеческие ошибки, допущенные при настройке облачных разрешений и политик, создают слабые места, которые злоумышленники могут использовать для доставки вымогателей. Каждая организация, использующая общедоступное или частное облако, должна укреплять эти среды путем надлежащей защиты конфигураций сегмента S3, тщательного управления разрешениями файлов, требовать многофакторной аутентификации для доступа и многого другого. Есть много руководств по «усилению облачности», которые могут помочь с этим.