Что такое RansomCloud и как защитить себя?
RansomCloud — это программа-вымогатель, предназначенная для проникновения и шифрования облачных хранилищ. Ответственность за безопасность ваших данных не так проста, как вы думаете. Мы говорим вам то, что вам нужно знать.
Программы-вымогатели и RansomCloud
Программа-вымогатель — это тип вредоносного ПО, которое заражает компьютеры и серверы жертвы. Он шифрует файлы и данные на этих устройствах, выводя сеть из строя. Для обратного процесса, известного как дешифрование, требуется уникальный ключ дешифрования. Киберпреступники вымогают выкуп в обмен на ключ.
Программы-вымогатели — это большой бизнес. С начала пандемии COVID-19 количество атак программ-вымогателей увеличилось на 600%. В 67% случаев фишинговые письма используются для заманивания жертвы в ловушку. Фишинговые атаки — это электронные письма, созданные таким образом, чтобы точно имитировать электронные письма из надежных источников, таких как онлайн-сервисы, банки и другие платежные платформы, такие как PayPal.
Электронные письма пытаются создать ощущение срочности. Есть проблема, которую нужно решить прямо сейчас, или специальное предложение скоро закрывается — не пропустите! Открытие зараженного вложения заразит ваш компьютер. Нажав на вредоносную ссылку, вы попадете на поддельный веб-сайт, который соберет ваши учетные данные или загрузит вредоносное ПО на ваш компьютер.
Между тем, переход к облачным вычислениям не ослабевает. Одним из предполагаемых преимуществ является повышенная надежность работы и превосходная непрерывность бизнеса. Инфраструктура, которая лежит в основе облачных предложений таких поставщиков услуг, как Microsoft, Google, Amazon, является первоклассной. И если кто-то и разбирается в безопасности, то это должны быть титаны технологий, верно? Это не означает, что эти платформы — или любые другие платформы, если уж на то пошло, — поставляются с аккуратно упакованной системой безопасности «подгони и забудь». Как и следовало ожидать, все немного сложнее.
Киберпреступники начали атаковать облачные платформы и сервисы программами-вымогателями, что привело к появлению названия «ransomcloud». Используете ли вы общедоступное облако, гибридное облако или многооблачную инфраструктуру, киберпреступники хотят получить доступ к вашим данным. Чем больше у вас данных в одном месте, тем более привлекательной становится эта площадка. Если в том же хранилище данных хранятся данные для многих предприятий, его ценность для киберпреступников возрастает.
Типы атаки RansomCloud
Существует три типа атак, которые могут заразить облачное хранилище.
Совмещение при синхронизации
Большинство программ-вымогателей доставляются с помощью фишинговых атак. Первый тип атаки ransomcloud заражает локальный компьютер жертвы. Фишинговые электронные письма зависят от действий жертвы, таких как попытка открыть фиктивное вложение или переход по ссылке. Вложение вряд ли содержит само вредоносное ПО. Чаще всего они запускают небольшую программу под названием «дроппер». Дроппер работает в фоновом режиме и загружает и устанавливает фактическое вредоносное ПО. Щелчок по ссылке также может инициировать загрузку.
Вредоносная программа может представить пользователю всплывающее окно, которое выглядит как запрос разрешения от доверенного программного обеспечения. Вместо того, чтобы разрешить, скажем, вашему антивирусу сканировать пользовательскую часть вашего облачного хранилища, вы непреднамеренно даете права доступа вредоносному ПО. Теперь вредоносное ПО может получить доступ к этому облаку.
После заражения компьютера жертвы вредоносное ПО может распространяться по сети с машины на машину и с сервера на сервер. Некоторые программы-вымогатели ищут службу синхронизации файлов, которая обменивается данными с облачной службой. Он подключается к этому и получает доступ к облачному хранилищу, заражая и шифруя данные в облаке.
Как только доступ к облаку установлен, программа-вымогатель запускает и шифрует локальные компьютеры. Он ждет, пока либо успешно проникнет в облако — чего он не может сделать, если сразу зашифрует все локальные компьютеры, — либо решит, что нет пути к облаку, который он может скомпрометировать, и остановится на чисто локальном заражении.
Удаленное подключение с украденными учетными данными
Второй тип атаки заражает локальное или мобильное устройство жертвы. Он крадет облачные учетные данные пользователя, отслеживая сетевые подключения и наблюдая за попытками аутентификации. Он может направить пользователя на фиктивный веб-портал, маскирующийся под настоящую облачную платформу. Когда жертва входит на мошеннический портал, он собирает ее учетные данные.
Отслеживая нажатия клавиш на зараженном локальном компьютере, данные о подключении могут быть скопированы вредоносной программой на удаленный компьютер. Те же учетные данные автоматически вводятся удаленным компьютером. Даже если используется двухфакторная аутентификация, локальное вредоносное ПО перехватывает нажатия клавиш на устройстве жертвы и передает их на удаленный компьютер злоумышленников.
Одновременный вход с компьютера злоумышленников работает, потому что идентификатор и пароль, которые они перехватили с компьютера жертвы, верны, а проверка 2FA является текущим действительным токеном проверки. Таким образом, у киберпреступников теперь есть подключение к вашему облаку со своего компьютера. Это может быть хранилище данных или корпоративная электронная почта.
Атака на облачного провайдера
Успешная атака на облачного провайдера — это крупная удача для киберпреступников, а также крупный заработок. Они могут скомпрометировать всю платформу и вымогать выкуп у некоторых или даже у всех клиентов этой службы.
В конце августа 2019 года компании Digital Dental Record и PerCSoft сообщили своим 400 клиентам — всем стоматологическим кабинетам — что их облачная платформа DDS Safe для стоматологов подверглась атаке программы-вымогателя. Данные примерно 400 стоматологических кабинетов были зашифрованы.
12 августа 2021 года Microsoft была уведомлена об уязвимости в своей базе данных Azure Cosmos, программном обеспечении, лежащем в основе ее облачного предложения Azure. Об этом им сообщил исследователь безопасности. Microsoft немедленно устранила уязвимость. Нет никаких доказательств того, что уязвимость была использована.
Уязвимость была обнаружена в продукте с открытым исходным кодом под названием Jupyter Notebook, который был интегрирован в Cosmos DB и включен по умолчанию. Microsoft отреагировала на уведомление исследователя безопасности действиями из учебника «игра за игру», немедленно контролируя и смягчая ситуацию. Близкий звонок, но не фактическое нарушение. Но это показывает, что каждый может быть уязвимым.
Кто отвечает за облачную безопасность?
Ответственность разделяется, поскольку у каждого из вас есть обязанности. Но вы отвечаете за разные части головоломки. Поставщик облачных услуг несет ответственность за обеспечение того, чтобы данные не могли быть доступны без законных учетных данных. В их обязанности входит следить за тем, чтобы ваши данные не подвергались риску из-за уязвимости. И если этой уязвимостью воспользуется киберпреступник, он будет нести ответственность за взлом.
Тем не менее, они не несут ответственности за уязвимости или эксплойты, возникающие в результате неправильного выбора паролей или паролей по умолчанию, неправильно настроенного программного обеспечения — даже если это программное обеспечение, которое они предоставили вам как часть своих услуг, — а также за сбои со стороны вашего персонала. . Если кто-то в вашей организации станет жертвой фишинговой атаки, ваш облачный провайдер не несет за это ответственности.
Некоторые организации предполагают, что вся безопасность облака ложится на облачного провайдера. Это совсем не так. Важно точно понимать, где лежат обязанности и где находится предел для каждой стороны. Это ключ к тому, чтобы стать безопасным. Вы должны понимать, что они предоставляют, чтобы вы могли видеть, что вам нужно предоставить вдобавок к этому. И зная, где лежат границы ответственности, вы можете убедиться, что между вами и вашим поставщиком услуг нет неохраняемых или заброшенных зон.
Как защитить свои данные
Попросите внести ясность. Авторитетные облачные провайдеры планируют, как восстанавливаться после атаки программ-вымогателей и других типов сбоев. Они задокументировали это и отрепетировали. Возможно, они не смогут поделиться планом — он может выдать информацию, предназначенную только для внутреннего использования, и может существенно ослабить их безопасность, — но вы можете спросить, когда план в последний раз тестировался или проверялся. Возможно, они смогут поделиться с вами результатами последней проверки плана.
Четко определите, где заканчиваются их обязанности и начинаются ваши. Читайте мелкий шрифт.
Предполагайте, что худшее может случиться, и планируйте его. Если у вашего облачного провайдера произойдет сбой, как вы продолжите работу? Например, вы можете использовать более одного поставщика облачных услуг и принять мультиоблачную стратегию. То же самое может быть достигнуто с помощью гибридной стратегии с использованием локальных серверов. Каким бы ни был ваш план, убедитесь, что он работает, прежде чем он понадобится.
Всегда делайте резервные копии, храните их в нескольких местах и выполняйте пробное восстановление. Обновляйте операционные системы, программное обеспечение и микропрограммы сетевых устройств с помощью исправлений безопасности и исправлений. Используйте лидирующий на рынке пакет средств защиты конечных точек, включающий антивирус и защиту от вредоносных программ.
Поскольку почти 70 % атак программ-вымогателей инициируются с помощью фишинговых электронных писем, убедитесь, что ваш персонал проходит обучение по вопросам кибербезопасности и периодически пополняется. Доброкачественная фишинговая атака дает вам представление о том, насколько ваша рабочая сила восприимчива к этому типу социальной инженерии. Существуют онлайн-сервисы, которыми вы можете воспользоваться, и охранные фирмы, которые проведут для вас безобидные фишинговые кампании.
Небольшое образование может избавить от многих душевных страданий. И, возможно, ваш бизнес.