Vad är RansomCloud och hur skyddar du dig själv?

0
62
Tada Images/Shutterstock

RansomCloud är ransomware utformad för att infiltrera och kryptera molnlagring. Ansvaret för säkerheten för dina data är inte så enkelt som du kanske tror. Vi berättar vad du behöver veta.

Ransomware och RansomCloud

Ransomware är en typ av skadlig kod som infekterar offrens datorer och servrar. Det krypterar filer och data på de enheter som gör nätverket inoperabelt. För att vända processen — känd som dekryptering & quot; krävs en unik dekrypteringsnyckel. Cyberkriminella utpressar en lösen i utbyte mot nyckeln.

Ransomware är ett stort företag. Sedan starten av COVID-19-pandemin har attackerna mot ransomware ökat med 600%. I 67% av fallen används phishing -mejl för att fånga offret. Phishing -attacker är e -postmeddelanden som är utformade för att nära efterlikna e -postmeddelanden från betrodda källor, till exempel onlinetjänster, banker och andra betalningsplattformar som PayPal.

E -postmeddelandena försöker skapa en känsla av brådska. Det finns ett problem som måste hanteras just nu, eller ett specialerbjudande stängs snart — missa inte! Om du öppnar en skadad bilaga infekteras din dator. Om du klickar på en skadlig länk kommer du till en falsk webbplats som samlar in dina uppgifter eller laddar ner skadlig kod till din dator.

Annonsering

Samtidigt fortsätter övergången till molntjänster oförminskat. En av de upplevda attraktionerna är förbättrad driftsäkerhet och överlägsen verksamhetskontinuitet. Infrastrukturen som ligger till grund för molnutbudet från tjänsteleverantörer som Microsoft, Google, Amazon är i världsklass. Och om någon känner till säkerhet måste det vara teknikens titaner, eller hur? Det betyder inte att dessa plattformar eller någon annan plattform, för den delen, har en snyggt paketerad passform och glöm säkerhet. Som du kanske förväntar dig är det lite mer komplicerat än så.

Cyberkriminella har börjat rikta in sig på molnplattformar och tjänster med ransomware -attacker, vilket ger upphov till namnet “ ransomcloud. ” Oavsett om du använder ett offentligt moln, hybridmoln eller flera molninfrastrukturer vill cyberkriminella få tillgång till dina data. Ju mer data du har på ett ställe, desto mer attraktivt blir ett mål. Om samma datalagring innehåller data för många företag, eskalerar dess värde för cyberbrottslingar.

RELATERAT: Hur man förbereder sig för och bekämpar en Ransomware-attack

Typer av RansomCloud-attack

Det finns tre typer av attack som kan infektera molnlagring.

Piggy-Backing on Sync

De flesta ransomware levereras av nätfiskeattacker. Den första typen av ransomcloud -attack infekterar offrets lokala dator. Phishing -e -postmeddelanden är beroende av en handling från offret, till exempel att försöka öppna en falsk bilaga eller klicka på en länk. Bilagan kommer sannolikt inte att bära själva skadlig programvaran. Oftare kör de ett litet program som kallas en “ dropper. ” Dropparen körs i bakgrunden och laddar ner och installerar den verkliga skadliga programvaran. Om du klickar på en länk kan du också starta nedladdningar.

Skadlig programvara kan presentera en popup för användaren som ser ut som en tillståndsbegäran från en betrodd programvara. Istället för att ge tillstånd för, säg, ditt antivirus att skanna användarens del av molnlagret, ger du oavsiktligt åtkomsträttigheter till skadlig programvara. Skadlig programvara kan nu komma åt molnet.

När offrets dator infekterats kan skadlig programvara distribuera sig över nätverket från maskin till maskin och server till server. Vissa ransomware letar efter en filsynkroniseringstjänst som kommunicerar till en molntjänst. Den tippar tillbaka på detta och får tillgång till molnlagring, infekterar och krypterar data i molnet.

När åtkomsten till molnet har upprättats, utlöser och krypterar ransomware de lokala datorerna. Den väntar tills den antingen har infiltrerat molnet framgångsrikt, vilket den inte kan göra om den krypterar alla lokala datorer direkt eller bestämmer sig för att det inte finns någon väg till molnet som den kan kompromissa, och löser sig på ett rent sätt lokal infektion.

RELATERAT: Social Engineering

Fjärranslutning med stulna referenser

Den andra typen av attack infekterar offrets lokala eller mobila enhet. Det stjäl användarens molnuppgifter genom att övervaka nätverksanslutningar och titta på autentiseringsförsök. Det kan leda användaren till en falsk webbportal som förklarar sig som den verkliga molnplattformen. När offret loggar in på den bedrägliga portalen skördar de sina uppgifter.

Annonsering

Genom att spåra knapptryckningar på den infekterade lokala datoranslutningen kan informationen kopieras av skadlig programvara till en fjärrdator. Samma referens anges automatiskt av fjärrdatorn. Även om tvåfaktorsautentisering används, får den lokala skadliga programvaran knapptryckningarna på offrets enhet och vidarebefordrar dem till cyberkriminella ’ fjärrdator.

En samtidig inloggning från cyberkriminella ’ datorn fungerar eftersom ID och lösenord som de har avlyssnat från offrets dator är korrekta och 2FA -verifieringen är den aktuella, giltiga verifieringstoken. Så cyberkriminella har nu en anslutning till ditt moln från sin egen dator. Det kan vara datalagring, eller det kan vara företagets e -post.

RELATED: Använder du 2FA? Bra. Men det är inte ofelbart

Attacking the Cloud Provider

En lyckad attack mot en molnleverantör är en stor kupp för cyberkriminella — och en stor lönedag också. De kan äventyra hela plattformen och utpressa lösen från vissa eller till och med alla kunder till den tjänsten.

I slutet av augusti 2019 berättade Digital Dental Record och PerCSoft för sina 400 kunder — alla tandläkarmottagningar &#8212 ; att deras DDS Safe molnplattform för tandläkare hade drabbats av ransomware. Cirka 400 tandoperationer fick sina data krypterade.

Annonsering

Den 12 augusti 2021 meddelades Microsoft om en sårbarhet i sin Azure Cosmos Database, programvaran i hjärtat av dess Azure-molnerbjudande. Det rapporterades till dem av en säkerhetsforskare. Microsoft mildrade omedelbart sårbarheten. Det finns inga bevis för att sårbarheten utnyttjades.

Sårbarheten var i en öppen källkodsprodukt som heter Jupyter Notebook som var integrerad i Cosmos DB och aktiverad som standard. Microsoft svarade på meddelandet från säkerhetsforskaren med läroböcker som spel-för-spel-åtgärder, kontrollerade och mildrade situationen omedelbart. Ett nära samtal, men ingen verklig överträdelse. Men det visar att alla kan vara sårbara.

RELATERAT: Varför Google-Backed Secure Open Source-programmet är så viktigt

< h2 id = "vem-är-ansvarig-för-moln-säkerhet"> Vem är ansvarig för molnsäkerhet?

Ansvaret delas, i den mån ni alla har ansvar. Men du är ansvarig för olika delar av pusslet. En molnleverantör är ansvarig för att se till att data inte kan nås utan legitima uppgifter. Det är deras plikt att se till att dina data inte utsätts för risk på grund av en sårbarhet. Och om den sårbarheten utnyttjas av en cyberkriminell är de ansvariga för brottet.

De ansvarar dock inte för sårbarheter eller utnyttjanden som uppstår till följd av dåligt valda eller standardlösenord, felkonfigurerad programvara — även om det är programvara de har tillhandahållit som en del av sin tjänst till dig — inte heller för fel på del av din personal. Om någon i din organisation blir offer för en nätfiskeattack är din molnleverantör inte ansvarig.

Vissa organisationer antar att all säkerhet för molnet faller på molnleverantören. Det är inte alls fallet. Det är viktigt att förstå exakt var ansvaret ligger och var gränsen är för varje part. Detta är nyckeln till att bli säker. Du måste förstå vad de tillhandahåller så att du kan se vad du behöver tillhandahålla utöver det. Och att veta var ansvarsgränserna ligger är det enda sättet du kan säkerställa att det inte finns några obevakade eller försummade områden i utkanten mellan dig och din leverantör.

Hur du försvarar dina data

Be om klarhet. Ansedda molnleverantörer kommer att ha planerat hur de ska återhämta sig från en ransomware -attack och andra typer av avbrott. De kommer att ha dokumenterat det och repeterat det. De kanske inte kan dela planen — det kan ge bort information som enbart är för internt bruk och kan försvaga deras säkerhet på ett praktiskt sätt — men du kan fråga när den senast testades eller granskades. De kanske kan dela med dig av resultaten från den senaste genomgången av planen.

Var tydlig med var deras ansvar slutar och var ditt börjar. Läs det finstilta.

Annonsering

Antag att det värsta kan hända och planera för det. Om din molnleverantör har ett avbrott, hur kommer du att fortsätta arbeta? Du kan till exempel utnyttja mer än en molnleverantör och anta en strategi för flera moln. Samma sak kan uppnås med en hybridstrategi som använder lokala servrar. Oavsett vad din plan är, verifiera att den fungerar innan du behöver den.

Gör alltid säkerhetskopior, lagra dem på flera platser och gör teståterställningar. Uppdatera operativsystem, programvara och fast programvara för nätverksenheter med säkerhets- och buggfixningspatcher. Använd en marknadsledande slutpunktssäkerhetssvit som täcker antivirus och anti-malware.

Eftersom nästan 70% av ransomware-attackerna initieras via phishing-e-postmeddelanden, se till att din personal får utbildning om cybersäkerhet och att den regelbundet fylls på . En godartad nätfiskeattack ger dig ett mått på hur mottaglig din personal är för denna typ av social teknik. Det finns onlinetjänster du kan använda, och säkerhetsföretag som kommer att genomföra godartade nätfiske -kampanjer åt dig.

Lite utbildning kan spara mycket hjärtesorg. Och möjligen ditt företag.

RELATERAT: Vilka är cybersäkerhets tre pelare?