RansomCloud è un ransomware progettato per infiltrarsi e crittografare il cloud storage. La responsabilità per la sicurezza dei tuoi dati non è così semplice come potresti pensare. Ti diciamo quello che devi sapere.
Ransomware e RansomCloud
Il ransomware è un tipo di malware che infetta i computer e i server di una vittima. Crittografa i file e i dati su quei dispositivi rendendo inutilizzabile la rete. Per invertire il processo—noto come decrittazione—è necessaria una chiave di decrittografia univoca. I criminali informatici estorcono un riscatto in cambio della chiave.
Il ransomware è un grande business. Dall'inizio della pandemia di COVID-19, gli attacchi ransomware sono aumentati del 600%. Nel 67% dei casi le e-mail di phishing vengono utilizzate per irretire la vittima. Gli attacchi di phishing sono e-mail create per imitare da vicino le e-mail provenienti da fonti attendibili, come servizi online, banche e altre piattaforme di pagamento come PayPal.
Le e-mail cercano di generare un senso di urgenza. C'è un problema che deve essere risolto in questo momento o un'offerta speciale sta per scadere, non lasciartela sfuggire! L'apertura di un allegato contaminato infetterà il tuo computer. Facendo clic su un collegamento dannoso verrai indirizzato a un sito Web fasullo che raccoglierà le tue credenziali o scaricherà malware sul tuo computer.
Pubblicità
Nel frattempo, il passaggio al cloud computing continua senza sosta. Una delle attrattive percepite è una maggiore robustezza delle operazioni e una continuità aziendale superiore. L'infrastruttura alla base delle offerte cloud di fornitori di servizi come Microsoft, Google, Amazon è di prim'ordine. E se qualcuno conosce la sicurezza, devono essere quei titani della tecnologia, giusto? Ciò non significa che queste piattaforme—o qualsiasi altra piattaforma, del resto—vengano con una sicurezza fit-and-forget ordinatamente suddivisa. Come ci si potrebbe aspettare, è un po' più complicato di così.
I criminali informatici hanno iniziato a prendere di mira piattaforme e servizi cloud con attacchi ransomware, dando origine al nome “ransomcloud.” Che tu adotti un cloud pubblico, un cloud ibrido o un'infrastruttura multi-cloud, i criminali informatici vogliono accedere ai tuoi dati. Più dati hai in un posto, più attraente diventa un target quel posto. Se lo stesso archivio dati contiene i dati per molte aziende, il suo valore per i criminali informatici aumenta.
RELAZIONATO:Come prepararsi e combattere un attacco ransomware
Tipi di attacco RansomCloud
Esistono tre tipi di attacco che può infettare il cloud storage.
Piggy-Backing on Sync
La maggior parte dei ransomware viene fornita da attacchi di phishing. Il primo tipo di attacco ransomcloud infetta il computer locale della vittima. Le e-mail di phishing si basano su un'azione della vittima, ad esempio il tentativo di aprire un allegato fasullo o il clic su un collegamento. È improbabile che l'allegato contenga il malware stesso. Più spesso, eseguono un piccolo programma chiamato “contagocce.” Il contagocce viene eseguito in background e scarica e installa il malware effettivo. Anche facendo clic su un collegamento è possibile avviare i download.
Il malware può presentare un popup all'utente che assomiglia a una richiesta di autorizzazione da parte di un software affidabile. Invece di autorizzare, ad esempio, il tuo antivirus a scansionare la parte dell'utente del tuo spazio di archiviazione cloud, stai inavvertitamente concedendo i diritti di accesso al malware. Il malware ora può accedere a quel cloud.
Una volta che il computer della vittima è stato infettato, il malware può distribuirsi attraverso la rete da macchina a macchina e da server a server. Alcuni ransomware cercano un servizio di sincronizzazione file che comunica con un servizio cloud. Si appoggia su questo e ottiene l'accesso allo spazio di archiviazione cloud, infettando e crittografando i dati nel cloud.
Una volta stabilito l'accesso al cloud, il ransomware attiva e crittografa i computer in sede. Attende fino a quando non si è infiltrato con successo nel cloud—cosa che non può fare se crittografa immediatamente tutti i computer locali—o decide che non c'è alcun percorso verso il cloud che può compromettere e si accontenta di un infezione locale.
RELAZIONATO: I molti volti dell'ingegneria sociale
Connessione remota con credenziali rubate
Il secondo tipo di attacco infetta il dispositivo locale o mobile della vittima. Ruba le credenziali cloud dell'utente monitorando le connessioni di rete e osservando i tentativi di autenticazione. Può indirizzare l'utente a un portale Web fasullo mascherato da vera piattaforma cloud. Quando la vittima accede al portale fraudolento, raccoglie le sue credenziali.
Pubblicità
Tenendo traccia delle sequenze di tasti sul computer locale infetto, i dettagli della connessione possono essere copiati dal malware su un computer remoto. Le stesse credenziali vengono inserite automaticamente dal computer remoto. Anche se è in uso l'autenticazione a due fattori, il malware locale cattura i tasti premuti sul dispositivo della vittima e li inoltra ai criminali informatici’ computer remoto.
Un accesso simultaneo da parte dei criminali informatici’ computer funziona perché l'ID e la password che hanno intercettato dal computer della vittima sono corretti e la verifica 2FA è il token di verifica corrente e valido. Quindi i criminali informatici ora hanno una connessione al tuo cloud dal proprio computer. Potrebbe essere l'archiviazione dei dati o potrebbe essere l'e-mail aziendale.
RELAZIONATO: Usi 2FA? Grande. Ma non è infallibile
Attaccare il fornitore di servizi cloud
Un attacco riuscito a un provider cloud è un grande colpo per i criminali informatici—e anche un grande giorno di paga. Possono compromettere l'intera piattaforma ed estorcere riscatti ad alcuni o addirittura a tutti i clienti di quel servizio.
A fine agosto 2019, Digital Dental Record e PerCSoft hanno comunicato ai loro 400 clienti—tutti gli studi dentistici— ;che la loro piattaforma cloud DDS Safe per dentisti era stata colpita da ransomware. Circa 400 studi dentistici hanno crittografato i propri dati.
Pubblicità
Il 12 agosto 2021 Microsoft è stata informata di una vulnerabilità nel suo Azure Cosmos Database, il software al centro della sua offerta cloud di Azure. È stato segnalato loro da un ricercatore di sicurezza. Microsoft ha immediatamente mitigato la vulnerabilità. Non ci sono prove che la vulnerabilità sia stata sfruttata.
La vulnerabilità era in un prodotto open source chiamato Jupyter Notebook che era integrato in Cosmos DB e attivato per impostazione predefinita. Microsoft ha risposto alla notifica del ricercatore di sicurezza con azioni play-for-play da manuale, controllando e mitigando immediatamente la situazione. Una chiamata ravvicinata, ma nessuna violazione vera e propria. Ma mostra che tutti possono essere vulnerabili.
RELAZIONATO: Perché il programma Secure Open Source supportato da Google è così importante
< h2 id="who-is-responsible-for-cloud-security">Chi è responsabile della sicurezza del cloud?
La responsabilità è condivisa, nella misura in cui ciascuno di voi ha delle responsabilità. Ma sei responsabile delle diverse parti del puzzle. Un provider cloud è responsabile di garantire che i dati non siano accessibili senza credenziali legittime. È loro dovere garantire che i tuoi dati non siano esposti a rischi a causa di una vulnerabilità. E se tale vulnerabilità viene sfruttata da un criminale informatico, questi è responsabile della violazione.
Tuttavia, non sono responsabili per vulnerabilità o exploit che si verificano a causa di password scelte in modo inadeguato o predefinite, software mal configurato—anche se si tratta di software che hanno fornito come parte del loro servizio—né per errori sul parte del tuo personale. Se qualcuno nella tua organizzazione cade vittima di un attacco di phishing, il tuo provider cloud non è responsabile.
Alcune organizzazioni presumono che tutta la sicurezza per il cloud spetti al provider cloud. Non è affatto così. È importante capire esattamente dove si trovano le responsabilità e dove si trova il limite per ciascuna parte. Questa è la chiave per diventare sicuri. Devi capire cosa stanno fornendo in modo da poter vedere cosa devi fornire oltre a quello. E sapere dove si trovano i confini della responsabilità è l'unico modo per assicurarti che non ci siano aree incustodite o trascurate ai margini tra te e il tuo provider.
Come difendere i tuoi dati
Chiedi chiarezza. I provider di cloud affidabili avranno pianificato come recuperare da un attacco ransomware e altri tipi di interruzione. Lo avranno documentato e provato. Potrebbero non essere in grado di condividere il piano—potrebbe fornire informazioni solo per uso interno e potrebbe effettivamente indebolire la loro sicurezza—ma puoi chiedere quando è stato testato o revisionato l'ultima volta. Potrebbero essere in grado di condividere con te i risultati dell'ultima procedura dettagliata del piano.
Sii chiaro su dove si fermano le loro responsabilità e dove iniziano le tue. Leggi le scritte in piccolo.
Pubblicità
Immagina che il peggio possa accadere e pianificalo. Se il tuo provider cloud ha un'interruzione, come continuerai a operare? Ad esempio, potresti sfruttare più di un fornitore di cloud e adottare una strategia multi-cloud. La stessa cosa può essere ottenuta con una strategia ibrida, utilizzando server on-premise. Qualunque sia il tuo piano, verifica che funzioni prima di averne bisogno.
Esegui sempre backup, archiviali in più posizioni ed esegui ripristini di prova. Aggiorna i sistemi operativi, il software e il firmware dei dispositivi di rete con patch di sicurezza e correzione di bug. Utilizza una suite di sicurezza degli endpoint leader di mercato, che copre antivirus e anti-malware.
Poiché quasi il 70% degli attacchi ransomware viene avviato tramite e-mail di phishing, assicurati che il tuo personale riceva una formazione sulla consapevolezza della sicurezza informatica e che venga periodicamente aggiornato . Un attacco di phishing benigno ti dà una misura di quanto sia suscettibile la tua forza lavoro a questo tipo di ingegneria sociale. Ci sono servizi online che puoi utilizzare e società di sicurezza che condurranno campagne di phishing benigne per te.
Un po' di educazione può farti risparmiare un sacco di angoscia. E possibilmente la tua attività.
RELAZIONATO: Quali sono i tre pilastri della sicurezza informatica?