O mais recente Cloud Threat Report da Unit 42 da Palo Alto Networks revelou que 66% dos buckets de armazenamento em nuvem contêm dados sensíveis, tornando-os alvos vulneráveis a ataques de ransomware. O SANS Institute alertou recentemente que esses ataques podem ser realizados explorando os controles de segurança e as configurações padrão oferecidas pelos próprios provedores de nuvem.
“Nos últimos meses, presenciei duas formas diferentes de executar ataques de ransomware utilizando apenas recursos legítimos de segurança da nuvem”, afirmou Brandon Evans, consultor de segurança e instrutor certificado do SANS.
A empresa Halcyon revelou uma campanha de ataque que explorou o mecanismo de criptografia nativo do Amazon S3, SSE-C, para criptografar os buckets da vítima. Pouco antes disso, o consultor Chris Farris demonstrou como hackers poderiam realizar ataques semelhantes usando chaves KMS com material criptográfico externo, tudo com scripts simples gerados pelo ChatGPT. “Está claro que esse tema está no foco tanto de pesquisadores quanto de hackers”, reforçou Brandon.
Para lidar com ataques de ransomware na nuvem, o SANS recomenda que as organizações:
Compreendam o funcionamento e os limites dos controles de segurança em nuvem: Utilizar a nuvem não garante segurança automática. “A maioria das pessoas começa a usar serviços de nuvem com ferramentas de backup como OneDrive, Dropbox ou iCloud”, explica Brandon. “Esses serviços geralmente têm recuperação de arquivos ativada por padrão, o que não é o caso do Amazon S3, Azure Storage ou Google Cloud Storage. Profissionais de segurança precisam entender como esses serviços funcionam e não confiar cegamente que a nuvem os protegerá.”
Bloqueiem métodos de criptografia não suportados: Técnicas como SSE-C no AWS S3 e KMS com material externo podem ser exploradas, pois o invasor pode ter controle total das chaves. É possível aplicar políticas de controle de acesso (IAM) para exigir o uso de métodos mais seguros, como SSE-KMS com chaves armazenadas diretamente na AWS.
Ativem backups, versionamento e bloqueio de objetos: Esses são controles essenciais de integridade e disponibilidade para armazenamento em nuvem. Nenhum deles é ativado por padrão nos três principais provedores de nuvem. Quando configurados corretamente, aumentam significativamente as chances de recuperação após um ataque de ransomware.
Equilibrem segurança e custos com políticas de ciclo de vida de dados: Essas funcionalidades geram custos. “Os provedores de nuvem não vão armazenar versões ou backups gratuitamente. E, por outro lado, sua organização também não dará um cheque em branco para a segurança dos dados”, afirma Brandon. As políticas de ciclo de vida permitem deletar automaticamente objetos, versões e backups desnecessários. No entanto, é importante ressaltar que hackers também podem abusar dessas políticas, como ocorreu na campanha mencionada, para pressionar a vítima a pagar rapidamente o resgate.
Via - THN
Comments