IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

حملات Ransomcloud: آخرین پرده نمایش حمله باج‌افزاری به فضا‌های ابری

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir ransomcloud ransomwares cloud 1
در میان حجم گسترده بدافزار‌ها، باج‌افزار‌ها پیشتاز این گروه هستند. در حالی که سایر نرم‌افزار‌های مخرب سیستم‌های رایانه‌ای را غارت می‌کنند، باج‌افزار‌ها با درخواست‌هایی، پا را فراتر می‌گذارند. این روش، تاکتیک قدیمی اخاذی است اما در دنیای دیجیتال دوباره به مرحله اجرا رسیده است. همانطور که ما بیشتر به اینترنت وابسته شده‌ایم، زمینه بازی برای این نوع خاص از بدافزار‌ها به طور بی‌حد و حصر گسترش یافته است. همزمان، تهدیدات امنیت سایبری در حال رشد هستند (در سال ۲۰۲۰، حملات بدافزار‌ها و باج‌افزار‌ها به ترتیب ۳۵۸٪ و ۴۳۵٪ افزایش یافته است) و در حال پیشی گرفتن از حجم گستردگی جوامع هستند.

اگرچه باج‌افزار ممکن است به عنوان یک عملیات فرصت طلبانه شروع شده باشد، اما از آن زمان به یک عمل مجرمانه سازمانی تبدیل شده است. درست همانطور که یک کسب و کار قانونی خود را برای رقابتی ماندن سازگار می‌کند، باج‌افزار‌ها نیز همین کار را کرده و خود را سازگار می‌نمایند. انتقال حجم حملات به فضای ابری، نمونه بارز این موضوع است.

مهاجرت ابری پدیده جدیدی نیست، اما همه‌گیری کرونا، قطعاً آن را تسریع کرده است. برای حفظ تداوم کسب و کار، شرکت‌ها دارایی‌ها و عملیات دیجیتالی خود را به یک محیط محاسبات ابری منتقل کرده‌اند و استفاده از پایگاه‌های داده داخلی را به حداقل می‌رسانند. متأسفانه، مجرمان سایبری این تغییر و داده‌های ارزشمندی را که اکنون در فضای ابری نگهداری می‌شوند، شناسایی کرده‌اند که منجر به حملات «ransomcloud» یا حملات باج‌افزاری ابری می‌شوند.

چنین حملاتی از طریق سه روش کلیدی رخ می‌دهند: همگام‌سازی فایل، اتصال از راه دور با اعتبارنامه سرقت شده و حمله به ارائه‌دهنده فضای ابری؛ در اینجا نحوه عملکرد این عملکرد‌ها آمده است:

همگام‌سازی فایل Piggybacking
اولین نوع حمله ransomcloud از فیشینگ برای آلوده کردن رایانه محلی قربانی استفاده می‌کند. با این حال، برخلاف تصور عمومی، پیوست یا لینک‌ ایمیل مخرب اغلب حاوی payload بدافزار نیست. در عوض آن، یک برنامه کوچک را ارائه می‌دهد که در پس زمینه اجرا شده و بدافزار را نصب می‌کند.

هنگامی که بدافزار وارد سیستم می‌شود، خود را به عنوان یک درخواست مجوز پاپ‌آپ از نرم‌افزار مورد اعتماد پنهان می‌کند. با تأیید این پاپ‌آپ، بدافزار فعال می‌شود و می‌تواند در سراسر شبکه به هر دستگاه متصل، منتشر شود. با گسترش آن، عوامل تهدید به دنبال سرویس‌های همگام‌سازی فایل در تعامل با سرویس‌های ابری هستند. پس از شناسایی، باج‌افزار بر روی فایل همگام‌سازی می‌شود و به عوامل تهدید اجازه دسترسی، آلوده کردن و رمزگذاری داده‌ها در فضای ابری را می‌دهد.

اگر سازمان اقداماتی مانند ایر گپینگ را در نظر گرفته باشد، باج‌افزار ممکن است نتواند مسیری به سمت فضای ابری را به خطر بیندازد و به جای آن بر روی آلودگی‌های محلی مستقر شود. این افزایش استفاده از Google Drive، Slack، Microsoft Teams و غیره را برای توزیع نرم‌افزار‌های مخرب توجیه می‌کند. این برنامه‌ها بین فضای ابری و دستگاه‌های داخلی قرار می‌گیرند. پس از به خطر افتادن، معکوس کردن این آسیب، فوق‌العاده دشوار می‌شود. اینجاست که ابزار‌های پیشرفته بروکر امنیتی دسترسی ابری (CASB) زمانی که بین زیرساخت‌های داخلی و ابری قرار می‌گیرند و ترافیک بین آن‌ها را بررسی می‌کنند، مفید واقع می‌شوند.

ارتباط از راه دور با اعتبارنامه سرقت شده
تاکتیک دوم این است که عوامل تهدید، اتصالات شبکه را برای تلاش‌هایی در راستی احراز هویت، ‌مانیتور می‌کنند. آن‌ها سپس اطلاعات کاربری ابری کاربر را معمولاً با ارائه یک پورتال ورود جعلی که به عنوان پلتفرم ابری واقعی ظاهر می‌شود، ضبط و ذخیره می‌کنند. با ردیابی کلید‌های ورودی بر روی رایانه محلی آلوده، جزئیات اتصال را می‌توان در یک رایانه راه دور کپی کرد و به طور خودکار در پلتفرم ابری واقعی وارد شد.

از آنجایی که بدافزار محلی، ضربه‌های کلید ورودی را به کامپیوتر از راه دور منتقل می‌کند، مجرمان سایبری می‌توانند از طریق ورود همزمان به فضای ابری دسترسی داشته باشند. بنابراین، بطور بالقوه، دور زدن روش‌های احراز هویت دو عاملی می‌س می‌شود. در این لحظه، آن‌ها یک اتصال به فضای ابری و همان دسترسی به کاربر شبیه‌سازی شده را دارند.

حمله به ارائه دهنده فضای ابری
در نهایت، یک حمله ransomcloud می‌تواند با هدف قرار دادن مستقیم ارائه دهنده ابری به وقوع بپیوندد. این مضرترین و سودآورترین روش برای مهاجم است زیرا اگر آن‌ها موفق شوند، به این معنی است که کل پلتفرم ابری را به خطر انداخته‌اند. به طور خلاصه، آن‌ها می‌توانند از همه مشتریان این سرویس آسیب‌دیده، درخواست باج کنند.

فضای ابری Microsoft Azure را در نظر بگیرید که در آگوست ۲۰۲۱ دارای آسیب‌پذیری بود و به مهاجمان امکان می‌دهد اختیارات را افزایش داده و به صورت جانبی در سراسر ابری مایکروسافت حرکت کنند. اگرچه این آسیب‌پذیری به سرعت و بدون هیچ حمله گزارش شده اصلاح شد، این حادثه حجم خطر را برجسته می‌کند.
takian.ir ransomcloud ransomwares cloud 2
مسئولیت امنیت فضای ابری
پس از بررسی این موضوع که چگونه فضای ابری ممکن است به خطر بیفتد، ممکن است بپرسیم که مسئولیت حفظ امنیت آن بر عهده کیست؟ پاسخ اینکه، این یک مسئولیت مشترک است. تأمین‌کنندگان فضای ابری، کسب و کار‌ها یا ارائه‌دهندگان خدمات مدیریت شده آن‌ها و حتی کارمندان منفرد، همگی در امنیت آن نقش دارند. فرد باید به سادگی مسئولیت‌های لازم را در مراحل اولیه فرایند مهاجرت ابری، ایجاد نماید.

با این وجود، مهم است به یاد داشته باشید که یک کسب و کار صرف نظر از اینکه کجا میزبانی می‌شود، همیشه مسئول داده‌های خود است. آن‌ها باید مراقب سیاست‌های مجاز، تهدیدات داخلی، کمپین‌های فیشینگ و اعتبارنامه‌های افشا شده خود باشند. بهترین راه برای مبارزه با برخی از این چالش‌ها، اتخاذ بهترین روش‌ها مانند پیروی از اصل حداقل اختیار برای محدود کردن اقدامات آسیب‌رسان در صورت هک شدن یک حساب ابری است. همچنین، این به معنای سرمایه‌گذاری در آموزش آگاهی امنیتی، برای مهار تلاش‌های موفق فیشینگ است. کسب‌وکار‌ها همچنین باید اطمینان حاصل کنند که محیط‌های ابری خود را به وضوح‌مانیتور کرده و می‌بینند تا مشکلات را زودتر شناسایی و برطرف کنند.

برچسب ها: Cloud Provider, Sync, Covid, Pandemic, Syncronization, Popup, بروکر امنیتی دسترسی ابری, CASB, Cloud Platform, پلتفرم ابری, کلود, ابر, همگام‌سازی, Piggybacking, Ransomcloud, Cloud database, Teams, کرونا, Google Drive, Microsoft Azure, باج‌افزار, Payload, اعتبارنامه, Credentials, Microsoft Teams, Slack, فضای ابری, Cloud-based, Cloud, Azure cloud, cybersecurity, Remote Code Execution, phishing, malware, ransomware , Cloud Firewall, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ ایمیل