RansomCloud ist eine Ransomware, die entwickelt wurde, um Cloud-Speicher zu infiltrieren und zu verschlüsseln. Die Verantwortung für die Sicherheit Ihrer Daten ist nicht so einfach, wie Sie vielleicht denken. Wir sagen Ihnen, was Sie wissen müssen.
Ransomware und RansomCloud
Ransomware ist eine Art von Malware, die die Computer und Server eines Opfers infiziert. Es verschlüsselt die Dateien und Daten auf diesen Geräten, wodurch das Netzwerk funktionsunfähig wird. Um den Vorgang umzukehren, der als Entschlüsselung bekannt ist, ist ein eindeutiger Entschlüsselungsschlüssel erforderlich. Die Cyberkriminellen erpressen im Austausch für den Schlüssel ein Lösegeld.
Ransomware ist ein großes Geschäft. Seit Beginn der COVID-19-Pandemie haben Ransomware-Angriffe um 600 % zugenommen. In 67 % der Fälle werden Phishing-E-Mails verwendet, um das Opfer zu umgarnen. Phishing-Angriffe sind E-Mails, die so gestaltet sind, dass sie E-Mails von vertrauenswürdigen Quellen wie Online-Diensten, Banken und anderen Zahlungsplattformen wie PayPal nachahmen.
Die E-Mails versuchen, ein Gefühl der Dringlichkeit zu erzeugen. Es gibt ein Problem, das sofort behoben werden muss, oder ein Sonderangebot wird bald geschlossen. Verpassen Sie es nicht! Wenn Sie einen manipulierten Anhang öffnen, wird Ihr Computer infiziert. Wenn Sie auf einen bösartigen Link klicken, gelangen Sie zu einer gefälschten Website, die Ihre Zugangsdaten sammelt oder Malware auf Ihren Computer herunterlädt.
Werbung
Der Umstieg auf Cloud Computing geht unterdessen unvermindert weiter. Eine der wahrgenommenen Attraktionen ist eine verbesserte Robustheit des Betriebs und eine überlegene Geschäftskontinuität. Die Infrastruktur, die den Cloud-Angeboten von Dienstleistern wie Microsoft, Google, Amazon zugrunde liegt, ist Weltklasse. Und wenn sich jemand mit Sicherheit auskennt, dann müssen es diese Titanen der Technologie sein, oder? Das bedeutet nicht, dass diese Plattformen —oder jede andere Plattform mit einer ordentlich verpackten Fit-and-Forget-Sicherheit ausgestattet ist. Wie Sie vielleicht erwarten, ist es etwas komplizierter.
Cyberkriminelle haben begonnen, Cloud-Plattformen und -Dienste mit Ransomware-Angriffen anzugreifen, was zu dem Namen “Ransomcloud” Unabhängig davon, ob Sie eine Public Cloud, Hybrid Cloud oder Multi-Cloud-Infrastruktur einsetzen, die Cyberkriminellen wollen an Ihre Daten gelangen. Je mehr Daten Sie an einem Ort haben, desto attraktiver wird ein Ziel an diesem Ort. Wenn derselbe Datenspeicher die Daten vieler Unternehmen enthält, steigt sein Wert für die Cyberkriminellen.
VERBUNDEN:Vorbereitung und Bekämpfung eines Ransomware-Angriffs
Arten von RansomCloud-Angriffen
Es gibt drei Arten von Angriff, der Cloud-Speicher infizieren kann.
Piggy-Backing on Sync
Die meiste Ransomware wird durch Phishing-Angriffe geliefert. Die erste Art von Ransomcloud-Angriff infiziert den lokalen Computer des Opfers. Phishing-E-Mails basieren auf einer Aktion des Opfers wie dem Versuch, einen gefälschten Anhang zu öffnen oder auf einen Link zu klicken. Es ist unwahrscheinlich, dass der Anhang die Malware selbst trägt. Häufiger führen sie ein kleines Programm namens “Dropper” Der Dropper läuft im Hintergrund und lädt die eigentliche Malware herunter und installiert sie. Durch Klicken auf einen Link können auch Downloads gestartet werden.
Die Malware kann dem Benutzer ein Popup anzeigen, das wie eine Berechtigungsanfrage einer vertrauenswürdigen Software aussieht. Anstatt beispielsweise Ihrem Antivirenprogramm die Erlaubnis zu erteilen, den Teil Ihres Cloud-Speichers des Benutzers zu scannen, erteilen Sie der Malware versehentlich Zugriffsrechte. Die Malware kann nun auf diese Cloud zugreifen.
Sobald der Computer des Opfers infiziert ist, kann sich die Malware von Computer zu Computer und von Server zu Server über das Netzwerk verteilen. Einige Ransomware sucht nach einem Dateisynchronisierungsdienst, der mit einem Cloud-Dienst kommuniziert. Es greift dies huckepack und erhält Zugriff auf den Cloud-Speicher, infiziert und verschlüsselt die Daten in der Cloud.
Sobald der Zugriff auf die Cloud hergestellt wurde, löst die Ransomware die lokalen Computer aus und verschlüsselt sie. Es wartet, bis es entweder die Cloud erfolgreich infiltriert hat, was nicht möglich ist, wenn es sofort alle lokalen Computer verschlüsselt, oder es entscheidet, dass es keinen Weg zur Cloud gibt, das es kompromittieren kann, und entscheidet sich für eine reine lokale Infektion.
VERBUNDEN: Die vielen Gesichter des Social Engineering
Remote-Verbindung mit gestohlenen Anmeldeinformationen
Der zweite Angriffstyp infiziert das lokale oder mobile Gerät des Opfers. Es stiehlt die Cloud-Anmeldeinformationen des Benutzers, indem es Netzwerkverbindungen überwacht und Authentifizierungsversuche überwacht. Es kann den Benutzer zu einem gefälschten Webportal leiten, das sich als echte Cloud-Plattform ausgibt. Wenn sich das Opfer beim betrügerischen Portal anmeldet, werden seine Zugangsdaten gesammelt.
Werbung
Durch das Verfolgen von Tastenanschlägen auf dem infizierten lokalen Computer können Verbindungsdetails von der Malware auf einen Remote-Computer kopiert werden. Dieselben Anmeldeinformationen werden automatisch vom Remote-Computer eingegeben. Selbst wenn die Zwei-Faktor-Authentifizierung verwendet wird, fängt die lokale Malware die Tastenanschläge auf dem Gerät des Opfers ab und leitet sie an die Cyberkriminellen weiter. Remote-Computer.
Eine gleichzeitige Anmeldung von den Cyberkriminellen’ Computer funktioniert, weil die ID und das Passwort, die sie vom Computer des Opfers abgehört haben, korrekt sind und die 2FA-Verifizierung das aktuelle, gültige Verifizierungstoken ist. So haben die Cyberkriminellen nun von ihrem eigenen Computer aus eine Verbindung zu Ihrer Cloud. Das können Datenspeicher oder Firmen-E-Mails sein.
VERWANDTE: Verwenden Sie 2FA? Groß. Aber es ist nicht unfehlbar
Angriff auf den Cloud-Anbieter
Ein erfolgreicher Angriff auf einen Cloud-Anbieter ist ein großer Coup für die Cyberkriminellen – und auch ein großer Zahltag. Sie können die gesamte Plattform kompromittieren und von einigen oder sogar allen Kunden dieses Dienstes Lösegeld erpressen.
Ende August 2019 teilten Digital Dental Record und PerCSoft ihren 400 Kunden —alle Zahnarztpraxen— . mit ;dass ihre DDS Safe Cloud-Plattform für Zahnärzte von Ransomware betroffen war. Bei etwa 400 Zahnarztpraxen wurden ihre Daten verschlüsselt.
Werbung
Am 12. August 2021 wurde Microsoft über eine Sicherheitslücke in seiner Azure Cosmos Database, der Software, die das Herzstück seines Azure-Cloud-Angebots bildet, gemeldet. Es wurde ihnen von einem Sicherheitsforscher gemeldet. Microsoft hat die Sicherheitsanfälligkeit umgehend behoben. Es gibt keine Hinweise darauf, dass die Sicherheitsanfälligkeit ausgenutzt wurde.
Die Sicherheitslücke bestand in einem Open-Source-Produkt namens Jupyter Notebook, das in die Cosmos DB integriert und standardmäßig aktiviert war. Microsoft reagierte auf die Benachrichtigung des Sicherheitsforschers mit lehrbuchmäßigen Play-for-Play-Aktionen, um die Situation sofort zu kontrollieren und abzumildern. Ein knapper Anruf, aber kein tatsächlicher Verstoß. Aber es zeigt, dass jeder angreifbar sein kann.
VERWANDTE: Warum das von Google unterstützte sichere Open-Source-Programm so wichtig ist
< h2 id="who-is-responsible-for-cloud-security">Wer ist für die Cloud-Sicherheit verantwortlich?
Die Verantwortung wird geteilt, sofern jeder Verantwortung trägt. Aber Sie sind für verschiedene Teile des Puzzles verantwortlich. Ein Cloud-Anbieter ist dafür verantwortlich, dass ohne legitime Anmeldeinformationen nicht auf Daten zugegriffen werden kann. Es ist ihre Pflicht, sicherzustellen, dass Ihre Daten nicht aufgrund einer Schwachstelle einem Risiko ausgesetzt sind. Und wenn diese Schwachstelle von einem Cyberkriminellen ausgenutzt wird, ist er für den Verstoß verantwortlich.
Sie sind jedoch nicht verantwortlich für Schwachstellen oder Exploits, die als Folge von falsch gewählten oder voreingestellten Passwörtern, falsch konfigurierter Software auftreten&8212;selbst wenn es sich um Software handelt, die sie Ihnen im Rahmen ihres Dienstes zur Verfügung gestellt haben&8212;noch für Fehler bei der Teil Ihres Personals. Wenn jemand in Ihrem Unternehmen einem Phishing-Angriff zum Opfer fällt, ist Ihr Cloud-Anbieter nicht verantwortlich.
Einige Unternehmen gehen davon aus, dass die gesamte Sicherheit für die Cloud beim Cloud-Anbieter liegt. Das ist überhaupt nicht der Fall. Es ist wichtig, genau zu verstehen, wo die Verantwortlichkeiten liegen und wo die Grenze für jede Partei liegt. Dies ist der Schlüssel zur Sicherheit. Sie müssen verstehen, was sie bereitstellen, damit Sie sehen können, was Sie darüber hinaus bereitstellen müssen. Und nur wenn Sie wissen, wo die Grenzen der Verantwortung liegen, können Sie sicherstellen, dass es keine unbewachten oder vernachlässigten Bereiche zwischen Ihnen und Ihrem Provider gibt.
So schützen Sie Ihre Daten
Bitte um Klarheit. Namhafte Cloud-Anbieter haben geplant, wie man sich von einem Ransomware-Angriff und anderen Arten von Ausfällen erholt. Sie werden es dokumentiert und einstudiert haben. Sie sind möglicherweise nicht in der Lage, den Plan zu teilen,—dadurch werden Informationen weitergegeben, die nur für den internen Gebrauch bestimmt sind, und könnte ihre Sicherheit möglicherweise schwächen—Sie können jedoch fragen, wann der Plan zuletzt getestet oder überprüft wurde. Sie können Ihnen möglicherweise die Ergebnisse der letzten Durchführung des Plans mitteilen.
Sei dir klar, wo ihre Verantwortung aufhört und wo deine beginnt. Lesen Sie das Kleingedruckte.
Werbung
Gehen Sie davon aus, dass das Schlimmste passieren kann und planen Sie es ein. Wie geht es weiter, wenn Ihr Cloud-Anbieter ausfällt? Sie können beispielsweise mehr als einen Cloud-Anbieter nutzen und eine Multi-Cloud-Strategie verfolgen. Dasselbe kann mit einer Hybridstrategie erreicht werden, die On-Premise-Server verwendet. Was auch immer Ihr Plan ist, überprüfen Sie, ob er funktioniert, bevor Sie ihn brauchen.
Führen Sie immer Backups durch, speichern Sie sie an mehreren Orten und führen Sie Testwiederherstellungen durch. Aktualisieren Sie Betriebssysteme, Software und Netzwerkgeräte-Firmware mit Sicherheits- und Bugfix-Patches. Verwenden Sie eine marktführende Endpunkt-Sicherheitssuite, die Antiviren- und Anti-Malware abdeckt.
Da fast 70 % der Ransomware-Angriffe durch Phishing-E-Mails ausgelöst werden, stellen Sie sicher, dass Ihre Mitarbeiter Schulungen zum Thema Cybersicherheit erhalten und diese regelmäßig aufgefüllt werden . Ein gutartiger Phishing-Angriff gibt Ihnen ein Maß dafür, wie anfällig Ihre Mitarbeiter für diese Art von Social Engineering sind. Es gibt Online-Dienste, die Sie nutzen können, und Sicherheitsfirmen, die für Sie harmlose Phishing-Kampagnen durchführen.
Ein wenig Bildung kann viel Kummer ersparen. Und möglicherweise Ihr Unternehmen.
VERWANDTE: Was sind die drei Säulen der Cybersicherheit?