Qu'est-ce que RansomCloud et comment vous protéger ?

0
69
Tada Images/Shutterstock

RansomCloud est un ransomware conçu pour infiltrer et chiffrer le stockage en nuage. La responsabilité de la sécurité de vos données n'est pas aussi simple qu'on pourrait le penser. Nous vous disons ce que vous devez savoir.

Ransomware et RansomCloud

Le ransomware est un type de malware qui infecte les ordinateurs et les serveurs d'une victime. Il crypte les fichiers et les données sur ces appareils, rendant le réseau inutilisable. Pour inverser le processus—connu sous le nom de déchiffrement—nécessite une clé de déchiffrement unique. Les cybercriminels extorquent une rançon en échange de la clé.

Les ransomwares sont une grosse affaire. Depuis le début de la pandémie de COVID-19, les attaques de ransomware ont augmenté de 600 %. Dans 67 % des cas, les e-mails de phishing sont utilisés pour piéger la victime. Les attaques de phishing sont des e-mails conçus pour imiter fidèlement les e-mails provenant de sources fiables, telles que les services en ligne, les banques et d'autres plateformes de paiement comme PayPal.

Les e-mails tentent de générer un sentiment d'urgence. Il y a un problème qui doit être traité dès maintenant, ou une offre spéciale se termine bientôt, ne manquez pas cette occasion ! L'ouverture d'une pièce jointe contaminée infectera votre ordinateur. En cliquant sur un lien malveillant, vous serez redirigé vers un faux site Web qui recueillera vos informations d'identification ou téléchargera des logiciels malveillants sur votre ordinateur.

Publicité

Pendant ce temps, le passage au cloud computing se poursuit sans relâche. L'une des attractions perçues est l'amélioration de la robustesse de l'exploitation et la continuité supérieure des activités. L'infrastructure qui sous-tend les offres cloud des fournisseurs de services tels que Microsoft, Google, Amazon est de classe mondiale. Et si quelqu'un connaît la sécurité, ce doit être ces titans de la technologie, non ? Cela ne veut pas dire que ces plates-formes ou toute autre plate-forme, d'ailleurs, sont dotées d'une sécurité « fit-and-forget » bien organisée. Comme vous pouvez vous y attendre, c'est un peu plus compliqué que cela.

Les cybercriminels ont commencé à cibler les plates-formes et les services cloud avec des attaques de ransomware, ce qui a donné naissance au nom de “ransomcloud.” Que vous adoptiez un cloud public, un cloud hybride ou une infrastructure multi-cloud, les cybercriminels veulent s'emparer de vos données. Plus vous avez de données en un seul endroit, plus la cible devient attrayante. Si ce même stockage de données contient les données de nombreuses entreprises, sa valeur pour les cybercriminels augmente.

CONNEXES :Comment se préparer et combattre une attaque de ransomware

Types d'attaque RansomCloud

Il existe trois types de attaque qui peut infecter le stockage cloud.

Piggy-Backing on Sync

La plupart des ransomwares sont livrés par des attaques de phishing. Le premier type d'attaque de ransomcloud infecte l'ordinateur local de la victime. Les e-mails d'hameçonnage reposent sur une action de la victime, comme tenter d'ouvrir une fausse pièce jointe ou cliquer sur un lien. Il est peu probable que la pièce jointe porte le malware lui-même. Le plus souvent, ils exécutent un petit programme appelé “dropper.” Le compte-gouttes s'exécute en arrière-plan et télécharge et installe le logiciel malveillant réel. Cliquer sur un lien peut également lancer des téléchargements.

Le malware peut présenter à l'utilisateur une fenêtre contextuelle qui ressemble à une demande d'autorisation d'un logiciel de confiance. Au lieu d'autoriser, par exemple, votre antivirus à analyser la partie utilisateur de votre stockage en nuage, vous donnez par inadvertance des droits d'accès au malware. Le malware peut désormais accéder à ce cloud.

Une fois que l'ordinateur de la victime est infecté, le malware peut se diffuser sur le réseau d'une machine à l'autre et d'un serveur à l'autre. Certains ransomware recherchent un service de synchronisation de fichiers qui communique avec un service cloud. Il s'y greffe et accède au stockage cloud, infectant et cryptant les données dans le cloud.

Une fois l'accès au cloud établi, le ransomware déclenche et crypte les ordinateurs sur site. Il attend jusqu'à ce qu'il ait réussi à infiltrer le cloud, ce qu'il ne peut pas faire s'il chiffre tous les ordinateurs locaux immédiatement, ou décide qu'il n'y a pas de route vers le cloud qu'il puisse compromettre, et s'installe sur une base purement infection locale.

CONNEXES : Les nombreux visages de l'ingénierie sociale

Connexion à distance avec des identifiants volés

Le deuxième type d'attaque infecte l'appareil local ou mobile de la victime. Il vole les informations d'identification cloud de l'utilisateur en surveillant les connexions réseau et en surveillant les tentatives d'authentification. Il peut diriger l'utilisateur vers un faux portail Web se faisant passer pour la véritable plate-forme cloud. Lorsque la victime se connecte au portail frauduleux, elle récupère ses informations d'identification.

Publicité

En suivant les frappes sur l'ordinateur local infecté, les détails de la connexion peuvent être copiés par le logiciel malveillant sur un ordinateur distant. Les mêmes informations d'identification sont entrées automatiquement par l'ordinateur distant. Même si l'authentification à deux facteurs est utilisée, le malware local capte les frappes sur l'appareil de la victime et les relaie aux cybercriminels ordinateur distant.

Une connexion simultanée des cybercriminels’ l'ordinateur fonctionne parce que l'ID et le mot de passe qu'ils ont écoutés de l'ordinateur de la victime sont corrects et que la vérification 2FA est le jeton de vérification actuel et valide. Ainsi, les cybercriminels ont désormais une connexion à votre cloud depuis leur propre ordinateur. Il peut s'agir d'un stockage de données ou d'une messagerie d'entreprise.

CONNEXION : Vous utilisez 2FA ? Super. Mais ce n'est pas infaillible

Attaquer le fournisseur de cloud

Une attaque réussie contre un fournisseur de cloud est un coup majeur pour les cybercriminels & un gros salaire aussi. Ils peuvent compromettre l'ensemble de la plate-forme et extorquer des rançons à certains ou même à tous les clients de ce service.

À la fin du mois d'août 2019, Digital Dental Record et PerCSoft ont informé leurs 400 clients de toutes les chirurgies dentaires. ; que leur plate-forme cloud DDS Safe pour les dentistes avait été touchée par un ransomware. Environ 400 cabinets dentaires ont vu leurs données cryptées.

Publicité

Le 12 août 2021, Microsoft a été informé d'une vulnérabilité dans sa base de données Azure Cosmos, le logiciel au cœur de son offre cloud Azure. Cela leur a été signalé par un chercheur en sécurité. Microsoft a immédiatement atténué la vulnérabilité. Il n'y a aucune preuve que la vulnérabilité a été exploitée.

La vulnérabilité se trouvait dans un produit open source appelé Jupyter Notebook qui était intégré à Cosmos DB et activé par défaut. Microsoft a répondu à la notification du chercheur en sécurité avec des actions play-for-play de manuels, contrôlant et atténuant immédiatement la situation. Un appel serré, mais aucune infraction réelle. Mais cela montre que tout le monde peut être vulnérable.

CONNEXION : Pourquoi le programme Open Source sécurisé soutenu par Google est si important

< h2 id="who-is-responsible-for-cloud-security">Qui est responsable de la sécurité du cloud ?

La responsabilité est partagée, dans la mesure où vous avez chacun des responsabilités. Mais vous êtes responsable de différentes parties du puzzle. Un fournisseur de cloud est responsable de s'assurer que les données ne sont pas accessibles sans informations d'identification légitimes. Il est de leur devoir de s'assurer que vos données ne sont pas exposées à un risque en raison d'une vulnérabilité. Et si cette vulnérabilité est exploitée par un cybercriminel, il est responsable de la violation.

Cependant, ils ne sont pas responsables des vulnérabilités ou des exploits résultant de mots de passe mal choisis ou par défaut, de logiciels mal configurés, même s'il s'agit de logiciels qu'ils vous ont fournis dans le cadre de leur service, ni de défaillances sur le partie de votre personnel. Si un membre de votre organisation est victime d'une attaque de phishing, votre fournisseur de cloud n'est pas responsable.

Certaines organisations supposent que toute la sécurité du cloud incombe au fournisseur de cloud. Ce n'est pas du tout le cas. Il est important de comprendre exactement où se situent les responsabilités et où se situe la limite pour chaque partie. C'est la clé pour devenir en sécurité. Vous devez comprendre ce qu'ils fournissent afin que vous puissiez voir ce que vous devez fournir en plus de cela. Et savoir où se situent les limites de la responsabilité est le seul moyen de vous assurer qu'il n'y a pas de zones non surveillées ou négligées entre vous et votre fournisseur.

Comment défendre vos données

Demandez de la clarté. Les fournisseurs de cloud réputés auront planifié la façon de se remettre d'une attaque de ransomware et d'autres types de panne. Ils l'auront documenté et répété. Ils peuvent ne pas être en mesure de partager le plan ; il peut divulguer des informations à usage interne uniquement et pourrait affaiblir leur sécurité ; mais vous pouvez demander quand il a été testé ou révisé pour la dernière fois. Ils pourront peut-être partager avec vous les résultats du dernier examen du plan.

Soyez clair sur où s'arrêtent leurs responsabilités et où commencent les vôtres. Lisez les petits caractères.

Publicité

Supposons que le pire puisse arriver et planifiez-le. Si votre fournisseur de cloud est en panne, comment allez-vous continuer à fonctionner ? Par exemple, vous pouvez tirer parti de plusieurs fournisseurs de cloud et adopter une stratégie multicloud. La même chose peut être réalisée avec une stratégie hybride, utilisant des serveurs sur site. Quel que soit votre plan, vérifiez qu'il fonctionne avant d'en avoir besoin.

Faites toujours des sauvegardes, stockez-les dans plusieurs emplacements et testez les restaurations. Mettez à jour les systèmes d'exploitation, les logiciels et le micrologiciel des périphériques réseau avec des correctifs de sécurité et de correction de bogues. Utilisez une suite de sécurité des points de terminaison leader du marché, couvrant les antivirus et les anti-malware.

Parce que près de 70 % des attaques de ransomware sont lancées par le biais d'e-mails de phishing, assurez-vous que votre personnel reçoit une formation de sensibilisation à la cybersécurité et qu'elle est régulièrement complétée . Une attaque de phishing bénigne vous donne une mesure de la sensibilité de votre personnel à ce type d'ingénierie sociale. Il existe des services en ligne que vous pouvez utiliser et des sociétés de sécurité qui mèneront des campagnes de phishing bénignes pour vous.

Un peu d'éducation peut vous éviter bien des chagrins. Et peut-être votre entreprise.

CONNEXES : Quels sont les trois piliers de la cybersécurité ?