Wat is RansomCloud en hoe bescherm je jezelf?

0
51
Tada Images/Shutterstock

RansomCloud is ransomware die is ontworpen om cloudopslag te infiltreren en te versleutelen. De verantwoordelijkheid voor de beveiliging van uw gegevens is niet zo eenvoudig als u misschien denkt. We vertellen je wat je moet weten.

Ransomware en RansomCloud

Ransomware is een type malware dat de computers en servers van een slachtoffer infecteert. Het versleutelt de bestanden en gegevens op die apparaten waardoor het netwerk onbruikbaar wordt. Om het proces, dat bekend staat als decodering, ongedaan te maken, is een unieke decoderingssleutel vereist. De cybercriminelen dringen losgeld af in ruil voor de sleutel.

Ransomware is big business. Sinds het begin van de COVID-19-pandemie zijn ransomware-aanvallen met 600% toegenomen. In 67% van de gevallen worden phishing-e-mails gebruikt om het slachtoffer te verstrikken. Phishing-aanvallen zijn e-mails die zijn gemaakt om e-mails van vertrouwde bronnen, zoals online services, banken en andere betalingsplatforms zoals PayPal, nauw na te bootsen.

De e-mails proberen een gevoel van urgentie te genereren. Er is een probleem dat nu moet worden opgelost, of er loopt binnenkort een speciale aanbieding, mis het niet! Het openen van een besmette bijlage zal uw computer infecteren. Als u op een schadelijke link klikt, gaat u naar een nepwebsite die uw inloggegevens verzamelt of malware naar uw computer downloadt.

Advertentie

Ondertussen gaat de overstap naar cloud computing onverminderd door. Een van de waargenomen attracties is een verbeterde robuustheid van de operatie en superieure bedrijfscontinuïteit. De infrastructuur die ten grondslag ligt aan het cloudaanbod van serviceproviders zoals Microsoft, Google en Amazon is van wereldklasse. En als iemand beveiliging kent, dan zijn het wel die titanen van de technologie, toch? Dat betekent overigens niet dat deze platforms, of welk ander platform dan ook, worden geleverd met netjes verpakte fit-and-forget-beveiliging. Zoals je mag verwachten, is het een beetje ingewikkelder dan dat.

Cybercriminelen zijn begonnen met het aanvallen van cloudplatforms en -diensten met ransomware-aanvallen, wat aanleiding gaf tot de naam “ransomcloud.” Of u nu een openbare cloud, hybride cloud of multicloud-infrastructuur gebruikt, de cybercriminelen willen bij uw gegevens komen. Hoe meer gegevens je op één plek hebt, hoe aantrekkelijker een doelwit die plek wordt. Als diezelfde gegevensopslag de gegevens voor veel bedrijven bevat, escaleert de waarde ervan voor de cybercriminelen.

GERELATEERD:Voorbereiden op en bestrijden van een ransomware-aanval

Soorten RansomCloud-aanvallen

Er zijn drie soorten aanval die cloudopslag kan infecteren.

Piggy-Backing on Sync

De meeste ransomware wordt geleverd door phishing-aanvallen. Het eerste type ransomware-aanval infecteert de lokale computer van het slachtoffer. Phishing-e-mails zijn afhankelijk van een actie van het slachtoffer, zoals een poging om een ​​valse bijlage te openen of op een link te klikken. Het is onwaarschijnlijk dat de bijlage de malware zelf bevat. Vaker draaien ze een klein programma genaamd “dropper.” De dropper draait op de achtergrond en downloadt en installeert de daadwerkelijke malware. Als u op een link klikt, kunnen ook downloads worden gestart.

De malware kan een pop-up aan de gebruiker presenteren die eruitziet als een toestemmingsverzoek van een stukje vertrouwde software. In plaats van toestemming te geven aan bijvoorbeeld uw antivirusprogramma om het gebruikersgedeelte van uw cloudopslag te scannen, geeft u onbedoeld toegangsrechten tot de malware. De malware heeft nu toegang tot die cloud.

Zodra de computer van het slachtoffer is geïnfecteerd, kan de malware zichzelf over het netwerk verspreiden, van machine tot machine en van server naar server. Sommige ransomware zoekt naar een bestandssynchronisatieservice die communiceert met een cloudservice. Het speelt hierop mee en krijgt toegang tot de cloudopslag, waardoor de gegevens in de cloud worden geïnfecteerd en versleuteld.

Zodra toegang tot de cloud tot stand is gebracht, activeert en versleutelt de ransomware de on-premise computers. Het wacht tot het ofwel met succes de cloud heeft geïnfiltreerd, wat niet kan als het alle lokale computers meteen versleutelt, ofwel besluit dat er geen route naar de cloud is die het kan compromitteren, en neemt genoegen met een puur lokale infectie.

GERELATEERD: De vele gezichten van social engineering

Externe verbinding met gestolen inloggegevens

Het tweede type aanval infecteert het lokale of mobiele apparaat van het slachtoffer. Het steelt de cloudreferenties van de gebruiker door netwerkverbindingen te bewaken en authenticatiepogingen te bekijken. Het kan de gebruiker naar een nep-webportaal leiden dat zich voordoet als het echte cloudplatform. Wanneer het slachtoffer inlogt op de frauduleuze portal, worden hun inloggegevens verzameld.

Advertentie

Door toetsaanslagen op de geïnfecteerde lokale computer te volgen, kunnen verbindingsdetails door de malware naar een externe computer worden gekopieerd. Dezelfde referenties worden automatisch ingevoerd door de externe computer. Zelfs als tweefactorauthenticatie wordt gebruikt, vangt de lokale malware de toetsaanslagen op het apparaat van het slachtoffer op en geeft deze door aan de cybercriminelen. externe computer.

Een gelijktijdige login van de cybercriminelen’ computer werkt omdat de ID en het wachtwoord die ze hebben afgeluisterd van de computer van het slachtoffer correct zijn, en de 2FA-verificatie het huidige, geldige verificatietoken is. Zo hebben de cybercriminelen nu vanaf hun eigen computer een verbinding met jouw cloud. Dat kan gegevensopslag zijn of zakelijke e-mail.

GERELATEERD: Gebruik je 2FA? Super goed. Maar het is niet onfeilbaar

De cloudprovider aanvallen

Een succesvolle aanval op een cloudprovider is een grote coup voor de cybercriminelen en ook nog eens een grote beloning. Ze kunnen het hele platform in gevaar brengen en losgeld afpersen van sommige of zelfs alle klanten van die dienst.

Eind augustus 2019 vertelden Digital Dental Record en PerCSoft hun 400 klanten 'alle tandartspraktijken' ;dat hun DDS Safe-cloudplatform voor tandartsen was getroffen door ransomware. Ongeveer 400 tandartspraktijken hadden hun gegevens versleuteld.

Advertentie

Op 12 augustus 2021 werd Microsoft op de hoogte gesteld van een kwetsbaarheid in de Azure Cosmos Database, de software die de kern vormt van het Azure-cloudaanbod. Het werd aan hen gemeld door een beveiligingsonderzoeker. Microsoft heeft het beveiligingslek onmiddellijk verholpen. Er is geen bewijs dat er misbruik is gemaakt van de kwetsbaarheid.

Het beveiligingslek zat in een open-sourceproduct genaamd Jupyter Notebook dat was geïntegreerd in de Cosmos DB en standaard was ingeschakeld. Microsoft reageerde op de melding van de beveiligingsonderzoeker met play-for-play-acties uit het tekstboek, waarmee de situatie onmiddellijk werd gecontroleerd en verholpen. Een close call, maar geen daadwerkelijke inbreuk. Maar het laat wel zien dat iedereen kwetsbaar kan zijn.

GERELATEERD: Waarom het door Google ondersteunde Secure Open Source-programma zo belangrijk is

< h2 id="who-is-responsible-for-cloud-security">Wie is verantwoordelijk voor cloudbeveiliging?

De verantwoordelijkheid is gedeeld, voor zover jullie ieder verantwoordelijkheden hebben. Maar jij bent verantwoordelijk voor verschillende delen van de puzzel. Een cloudprovider is ervoor verantwoordelijk dat gegevens niet toegankelijk zijn zonder legitieme inloggegevens. Het is hun plicht om ervoor te zorgen dat uw gegevens niet worden blootgesteld aan risico's vanwege een kwetsbaarheid. En als die kwetsbaarheid wordt misbruikt door een cybercrimineel, zijn zij verantwoordelijk voor de inbreuk.

Ze zijn echter niet verantwoordelijk voor kwetsbaarheden of exploits die optreden als gevolg van slecht gekozen of standaardwachtwoorden, verkeerd geconfigureerde software, zelfs niet als het software is die ze als onderdeel van hun service aan u hebben geleverd, noch voor fouten op de een deel van uw personeel. Als iemand in uw organisatie ten prooi valt aan een phishing-aanval, is uw cloudprovider niet verantwoordelijk.

Sommige organisaties gaan ervan uit dat alle beveiliging voor de cloud bij de cloudprovider ligt. Dat is helemaal niet het geval. Het is belangrijk om precies te begrijpen waar de verantwoordelijkheden liggen en waar de grens ligt voor elke partij. Dit is de sleutel om veilig te worden. Je moet begrijpen wat ze bieden, zodat je kunt zien wat je daarbovenop nog moet bieden. En weten waar de grenzen van verantwoordelijkheid liggen, is de enige manier om ervoor te zorgen dat er geen onbewaakte of verwaarloosde gebieden zijn in de marge tussen u en uw provider.

Hoe u uw gegevens kunt verdedigen

Vraag om duidelijkheid. Gerenommeerde cloudproviders zullen plannen hebben om te herstellen van een ransomware-aanval en andere soorten storing. Ze zullen het hebben gedocumenteerd en ingestudeerd. Ze zijn misschien niet in staat om het plan te delen, het kan informatie weggeven die alleen voor intern gebruik is, en het zou mogelijk hun beveiliging kunnen verzwakken, maar u kunt vragen wanneer het voor het laatst is getest of beoordeeld. Zij kunnen wellicht de resultaten van de laatste doorloop van het plan met u delen.

Wees duidelijk over waar hun verantwoordelijkheden ophouden en waar die van u beginnen. Lees de kleine lettertjes.

Advertentie

Ga ervan uit dat het ergste kan gebeuren en plan het. Als uw cloudprovider een storing heeft, hoe gaat u dan verder? U kunt bijvoorbeeld gebruikmaken van meer dan één cloudleverancier en een multicloudstrategie toepassen. Hetzelfde kan worden bereikt met een hybride strategie, waarbij gebruik wordt gemaakt van on-premise servers. Wat je plan ook is, controleer of het werkt voordat je het nodig hebt.

Maak altijd back-ups, bewaar ze op meerdere locaties en voer testherstel uit. Werk besturingssystemen, software en firmware van netwerkapparaten bij met beveiligings- en bugfix-patches. Gebruik een marktleidende suite voor eindpuntbeveiliging, die antivirus en antimalware dekt.

Omdat bijna 70% van de ransomware-aanvallen wordt geïnitieerd via phishing-e-mails, moet u ervoor zorgen dat uw personeel een training voor cyberbeveiligingsbewustzijn krijgt en dat deze periodiek wordt bijgevuld . Een goedaardige phishing-aanval geeft u een indicatie van hoe vatbaar uw personeel is voor dit soort social engineering. Er zijn online diensten die u kunt gebruiken, en beveiligingsbedrijven die goedaardige phishing-campagnes voor u zullen voeren.

Een beetje educatie kan veel hartzeer besparen. En mogelijk uw bedrijf.

GERELATEERD: Wat zijn de drie pijlers van cyberbeveiliging?