À medida que as operações diárias das empresas se tornam mais dependentes dos serviços em nuvem, os autores de ransomware farão o mesmo para maximizar os lucros. A boa notícia: muitas das práticas recomendadas para servidores físicos também se aplicam à nuvem.
O ransomware é agora uma empresa de um bilhão de dólares para os cibercriminosos e - como em qualquer setor - evoluiu com o tempo para se tornar mais eficiente e maximizar os lucros. Os hackers deixaram de lançar ataques de ransomware indiscriminadamente em massa e agora estão visando especificamente alvos de alto valor dentro das empresas e setores com maior probabilidade de pagar resgates mais elevados pelo retorno seguro de seus arquivos. À medida que os invasores continuam a refinar suas táticas para gerar mais dinheiro, acredito que a próxima geração de ransomware terá como alvo ativos baseados em nuvem, incluindo armazenamentos de arquivos, depósitos do Amazon S3 e ambientes virtuais.
Quando o ransomware entrou em cena pela primeira vez em 2013 com CryptoLocker, os atacantes tinham como alvo qualquer pessoa, de CEOs a idosos. Mesmo que apenas uma pequena porcentagem das vítimas pagasse o resgate relativamente pequeno, os invasores estavam enviando um volume tão alto de ransomware que ainda ganhariam dinheiro. Essa abordagem ampla de “explosão de espingarda” saiu de moda em 2016 e 2017, à medida que as taxas de sucesso do ransomware diminuíam devido a melhorias nas proteções antivírus. Em vez disso, os invasores começaram a visar setores nos quais as empresas não podem funcionar com nenhum tempo de inatividade, principalmente saúde, estado e local governo, e sistemas de controle industrial. Os atacantes escolheram seus alvos com mais cuidado, dedicaram mais tempo e esforço para invadir e pediram resgates maiores. Em suma, eles adaptaram suas táticas para maximizar os lucros.
Olhando para o futuro, acredito que o ransomware terá como alvo a nuvem por três motivos. Primeiro, a nuvem foi deixada praticamente intocada pelo ransomware até agora, portanto, é uma nova oportunidade de mercado para invasores.
Em segundo lugar, os dados e serviços armazenados ou executados pela nuvem agora são essenciais para as operações diárias de muitas empresas. Cinco anos atrás, uma empresa poderia funcionar sem a implantação da nuvem no curto prazo, então a pressão para pagar um resgate não teria sido tão alta. Agora, a maioria das empresas ficará prejudicada se perder o acesso a seus ativos de nuvem pública ou privada. Isso cria a mesma pressão intensa para restaurar os serviços rapidamente que vimos em hospitais, prefeituras e usinas de energia nos últimos anos.
Terceiro, a nuvem oferece um ponto de agregação atraente que permite que os invasores acessem uma população muito maior de vítimas. A criptografia de um único Amazon Web Server físico pode bloquear dados de dezenas de empresas que alugaram espaço nesse servidor. Como um exemplo, vários ataques no primeiro e segundo trimestres de 2019 envolveu malfeitores no sequestro de várias ferramentas de gerenciamento de provedores de serviços gerenciados e no uso delas como um ponto de entrada estratégico para espalhar o ransomware Sodinokibi e Gandcrab em suas listas de clientes. O mesmo princípio se aplica aqui - hackear uma propriedade central baseada na nuvem permitiu que os invasores atingissem dezenas ou centenas de vítimas.
Cloud Security
Para evitar ataques de ransomware na nuvem, as empresas precisam de segurança na nuvem. Muitos profissionais de TI inteligentes acreditam que não precisam se preocupar com a proteção de dados em uma implantação de infraestrutura como serviço (IaaS) porque a Microsoft ou a Amazon cuidarão disso para eles. Isso é apenas parcialmente verdade.
Embora a maioria dos provedores de nuvem pública forneça controles básicos de segurança, eles podem não incluir todos os serviços de segurança mais recentes necessários para evitar ameaças mais evasivas. Por exemplo, a maioria dos provedores de IaaS oferece alguma forma de proteção anti-malware básica, mas não as soluções anti-malware comportamentais ou baseadas em aprendizado de máquina mais sofisticadas disponíveis hoje. Pesquisa WatchGuard descobriu que entre um terço e metade de todos os ataques de malware usam técnicas de evasão ou ofuscação para contornar as soluções antivírus tradicionais baseadas em assinaturas. Sem um anti-malware mais proativo, o ransomware moderno poderia contornar os controles básicos de segurança da nuvem. Felizmente, você pode obter uma versão virtual ou em nuvem da maioria das soluções de segurança de rede no mercado hoje e sugiro usá-las para proteger seus ambientes de nuvem.
Por fim, configurações incorretas e erros humanos cometidos durante a configuração de permissões e políticas de nuvem criam pontos fracos que os invasores podem explorar para fornecer ransomware. Cada organização que usa uma nuvem pública ou privada deve proteger esses ambientes, protegendo adequadamente as configurações de bucket S3, gerenciando de perto as permissões de arquivo, exigindo autenticação multifator para acesso e muito mais. Existem muitos "endurecimento da nuvem" guias que podem ajudar com isso, e eu recomendo que qualquer pessoa nova na nuvem examine eles.
À medida que os serviços em nuvem se tornam cada vez mais críticos para as operações diárias de mais empresas, os autores de ransomware farão o mesmo para maximizar os lucros. A boa notícia é que a nuvem pode ser protegida com muitas das mesmas práticas recomendadas que se aplicam a redes físicas. Faça todos os esforços para manter suas implantações de nuvem seguras e protegidas hoje. No futuro, você pode ficar feliz por ter feito isso.
Conteúdo Relacionado:
Corey Nachreiner contribui regularmente para publicações de segurança e é palestrante internacional nas principais feiras do setor, como a RSA. Ele escreveu milhares de alertas de segurança e artigos educacionais e é o principal contribuidor do blog WatchGuard Security Center,… Ver biografia completa
Mais insights
