Da die täglichen Abläufe von Unternehmen immer mehr von Cloud-Diensten abhängig werden, werden Ransomware-Autoren folgen, um den Gewinn zu maximieren. Die gute Nachricht: Viele der Best Practices für physische Server gelten auch für die Cloud.
Ransomware ist heute ein Milliarden-Dollar-Unternehmen für Cyberkriminelle und hat sich - wie in jeder Branche - im Laufe der Zeit weiterentwickelt, um effizienter zu werden und Gewinne zu maximieren. Hacker haben sich vom wahllosen Starten von Ransomware-Angriffen abgewandt und zielen nun speziell auf hochwertige Ziele in Unternehmen und Branchen ab, die am wahrscheinlichsten höhere Lösegeldbeträge für die sichere Rückgabe ihrer Dateien zahlen. Da Angreifer ihre Taktik weiter verfeinern, um mehr Geld einzubringen, wird die nächste Generation von Ransomware meiner Meinung nach auf Cloud-basierte Assets abzielen, darunter Dateispeicher, Amazon S3-Buckets und virtuelle Umgebungen.
Als Ransomware zum ersten Mal in die Szene kam 2013 mit CryptoLockerAngreifer richteten sich gegen jeden und jeden, vom CEO bis zum Senioren. Selbst wenn nur ein kleiner Prozentsatz der Opfer das relativ geringe Lösegeld bezahlte, sendeten Angreifer ein so hohes Volumen an Lösegeld, dass sie immer noch Geld verdienen würden. Dieser umfassende Ansatz der „Schrotflintenexplosion“ geriet 2016 und 2017 aus der Mode, da die Erfolgsraten von Ransomware aufgrund verbesserter Virenschutzmaßnahmen zurückgingen. Stattdessen begannen Angreifer, auf Branchen abzuzielen, in denen Unternehmen mit Ausfallzeiten nicht funktionieren können Gesundheitswesen, Zustand und aus einer regionalen Regierung und industrielle Steuerungssysteme. Die Angreifer wählten ihre Ziele sorgfältiger aus, widmeten dem Einbruch mehr Zeit und Mühe und forderten ein höheres Lösegeld. Kurz gesagt, sie haben ihre Taktik angepasst, um den Gewinn zu maximieren.
Mit Blick auf die Zukunft glaube ich, dass Ransomware aus drei Gründen auf die Cloud abzielen wird. Erstens wurde die Cloud bisher weitgehend von Ransomware unberührt gelassen, sodass sich für Angreifer eine neue Marktchance ergibt.
Zweitens sind die Daten und Dienste, die in der Cloud gespeichert oder ausgeführt werden, für den täglichen Betrieb vieler Unternehmen von entscheidender Bedeutung. Vor fünf Jahren hätte ein Unternehmen möglicherweise kurzfristig ohne Cloud-Bereitstellung funktionieren können, sodass der Druck, ein Lösegeld zu zahlen, nicht so hoch gewesen wäre. Jetzt sind die meisten Unternehmen verkrüppelt, wenn sie den Zugriff auf ihre öffentlichen oder privaten Cloud-Ressourcen verlieren. Dies erzeugt den gleichen starken Druck, die Dienste schnell wiederherzustellen, den wir in den letzten Jahren bei Krankenhäusern, Stadtverwaltungen und Kraftwerken gesehen haben.
Drittens bietet die Cloud einen attraktiven Aggregationspunkt, über den Angreifer auf eine viel größere Anzahl von Opfern zugreifen können. Durch das Verschlüsseln eines einzelnen physischen Amazon-Webservers können Daten für Dutzende von Unternehmen gesperrt werden, die Speicherplatz auf diesem Server angemietet haben. Als Beispiel, mehrere Angriffe im ersten und zweiten Quartal 2019 Es handelte sich um schlechte Akteure, die die Management-Tools mehrerer Managed Service Provider entführten und diese als strategischen Einstiegspunkt für die Verbreitung von Sodinokibi- und Gandcrab-Ransomware auf ihre Kundenlisten verwendeten. Das gleiche Prinzip gilt hier: Durch das Hacken einer zentralen, Cloud-basierten Eigenschaft konnten Angreifer Dutzende oder Hunderte von Opfern treffen.
Cloud-Sicherheit
Um Cloud-Ransomware-Angriffe zu verhindern, benötigen Unternehmen Cloud-Sicherheit. Viele intelligente IT-Mitarbeiter glauben, dass sie sich nicht um die Sicherung von Daten in einer IaaS-Bereitstellung (Infrastructure-as-a-Service) kümmern müssen, da Microsoft oder Amazon dies für sie übernehmen. Dies ist nur teilweise richtig.
Während die meisten öffentlichen Cloud-Anbieter grundlegende Sicherheitskontrollen bereitstellen, enthalten sie möglicherweise nicht alle aktuellen Sicherheitsdienste, die zur Verhinderung ausweichenderer Bedrohungen erforderlich sind. Beispielsweise bieten die meisten IaaS-Anbieter eine Form des grundlegenden Anti-Malware-Schutzes an, nicht jedoch die heute verfügbaren komplexeren verhaltens- oder maschinell lernbasierten Anti-Malware-Lösungen. WatchGuard-Forschung hat festgestellt, dass zwischen einem Drittel und der Hälfte aller Malware-Angriffe Ausweich- oder Verschleierungstechniken verwenden, um herkömmliche, signaturbasierte Antivirenlösungen zu umgehen. Ohne proaktivere Anti-Malware könnte moderne Ransomware die grundlegenden Cloud-Sicherheitskontrollen umgehen. Glücklicherweise können Sie eine virtuelle oder Cloud-Version der meisten Netzwerksicherheitslösungen auf dem heutigen Markt erhalten, und ich schlage vor, diese zur Sicherung Ihrer Cloud-Umgebungen zu verwenden.
Schließlich führen Fehlkonfigurationen und menschliche Fehler beim Einrichten von Cloud-Berechtigungen und -Richtlinien zu Schwachstellen, die Angreifer ausnutzen können, um Ransomware bereitzustellen. Jede Organisation, die eine öffentliche oder private Cloud verwendet, sollte diese Umgebungen durch ordnungsgemäße Sicherung der S3-Bucket-Konfigurationen, genaue Verwaltung der Dateiberechtigungen, Anforderung einer Multifaktorauthentifizierung für den Zugriff und mehr schützen. Es gibt viele "Wolkenhärtungen" Führungen Das kann dabei helfen, und ich empfehle jedem, der neu in der Cloud ist, sich diese anzuschauen.
Da Cloud-Services für den täglichen Betrieb von mehr Unternehmen immer wichtiger werden, werden Ransomware-Autoren folgen, um den Gewinn zu maximieren. Die gute Nachricht ist, dass die Cloud mit vielen der gleichen Best Practices gesichert werden kann, die auch für physische Netzwerke gelten. Bemühen Sie sich, Ihre Cloud-Bereitstellungen heute sicher zu halten. In Zukunft könnten Sie froh sein, dass Sie es getan haben.
Ähnliche Inhalte:
Corey Nachreiner trägt regelmäßig zu Sicherheitsveröffentlichungen bei und spricht international auf führenden Branchenmessen wie RSA. Er hat Tausende von Sicherheitswarnungen und Lehrartikeln verfasst und ist der Hauptverantwortliche für das WatchGuard Security Center-Blog,… Vollständige Biographie anzeigen
Weitere Einblicke
