حملات Ransomcloud: آخرین پرده نمایش حمله باجافزاری به فضاهای ابری
اخبار داغ فناوری اطلاعات و امنیت شبکه
در میان حجم گسترده بدافزارها، باجافزارها پیشتاز این گروه هستند. در حالی که سایر نرمافزارهای مخرب سیستمهای رایانهای را غارت میکنند، باجافزارها با درخواستهایی، پا را فراتر میگذارند. این روش، تاکتیک قدیمی اخاذی است اما در دنیای دیجیتال دوباره به مرحله اجرا رسیده است. همانطور که ما بیشتر به اینترنت وابسته شدهایم، زمینه بازی برای این نوع خاص از بدافزارها به طور بیحد و حصر گسترش یافته است. همزمان، تهدیدات امنیت سایبری در حال رشد هستند (در سال ۲۰۲۰، حملات بدافزارها و باجافزارها به ترتیب ۳۵۸٪ و ۴۳۵٪ افزایش یافته است) و در حال پیشی گرفتن از حجم گستردگی جوامع هستند.
اگرچه باجافزار ممکن است به عنوان یک عملیات فرصت طلبانه شروع شده باشد، اما از آن زمان به یک عمل مجرمانه سازمانی تبدیل شده است. درست همانطور که یک کسب و کار قانونی خود را برای رقابتی ماندن سازگار میکند، باجافزارها نیز همین کار را کرده و خود را سازگار مینمایند. انتقال حجم حملات به فضای ابری، نمونه بارز این موضوع است.
مهاجرت ابری پدیده جدیدی نیست، اما همهگیری کرونا، قطعاً آن را تسریع کرده است. برای حفظ تداوم کسب و کار، شرکتها داراییها و عملیات دیجیتالی خود را به یک محیط محاسبات ابری منتقل کردهاند و استفاده از پایگاههای داده داخلی را به حداقل میرسانند. متأسفانه، مجرمان سایبری این تغییر و دادههای ارزشمندی را که اکنون در فضای ابری نگهداری میشوند، شناسایی کردهاند که منجر به حملات «ransomcloud» یا حملات باجافزاری ابری میشوند.
چنین حملاتی از طریق سه روش کلیدی رخ میدهند: همگامسازی فایل، اتصال از راه دور با اعتبارنامه سرقت شده و حمله به ارائهدهنده فضای ابری؛ در اینجا نحوه عملکرد این عملکردها آمده است:
همگامسازی فایل Piggybacking
اولین نوع حمله ransomcloud از فیشینگ برای آلوده کردن رایانه محلی قربانی استفاده میکند. با این حال، برخلاف تصور عمومی، پیوست یا لینک ایمیل مخرب اغلب حاوی payload بدافزار نیست. در عوض آن، یک برنامه کوچک را ارائه میدهد که در پس زمینه اجرا شده و بدافزار را نصب میکند.
هنگامی که بدافزار وارد سیستم میشود، خود را به عنوان یک درخواست مجوز پاپآپ از نرمافزار مورد اعتماد پنهان میکند. با تأیید این پاپآپ، بدافزار فعال میشود و میتواند در سراسر شبکه به هر دستگاه متصل، منتشر شود. با گسترش آن، عوامل تهدید به دنبال سرویسهای همگامسازی فایل در تعامل با سرویسهای ابری هستند. پس از شناسایی، باجافزار بر روی فایل همگامسازی میشود و به عوامل تهدید اجازه دسترسی، آلوده کردن و رمزگذاری دادهها در فضای ابری را میدهد.
اگر سازمان اقداماتی مانند ایر گپینگ را در نظر گرفته باشد، باجافزار ممکن است نتواند مسیری به سمت فضای ابری را به خطر بیندازد و به جای آن بر روی آلودگیهای محلی مستقر شود. این افزایش استفاده از Google Drive، Slack، Microsoft Teams و غیره را برای توزیع نرمافزارهای مخرب توجیه میکند. این برنامهها بین فضای ابری و دستگاههای داخلی قرار میگیرند. پس از به خطر افتادن، معکوس کردن این آسیب، فوقالعاده دشوار میشود. اینجاست که ابزارهای پیشرفته بروکر امنیتی دسترسی ابری (CASB) زمانی که بین زیرساختهای داخلی و ابری قرار میگیرند و ترافیک بین آنها را بررسی میکنند، مفید واقع میشوند.
ارتباط از راه دور با اعتبارنامه سرقت شده
تاکتیک دوم این است که عوامل تهدید، اتصالات شبکه را برای تلاشهایی در راستی احراز هویت، مانیتور میکنند. آنها سپس اطلاعات کاربری ابری کاربر را معمولاً با ارائه یک پورتال ورود جعلی که به عنوان پلتفرم ابری واقعی ظاهر میشود، ضبط و ذخیره میکنند. با ردیابی کلیدهای ورودی بر روی رایانه محلی آلوده، جزئیات اتصال را میتوان در یک رایانه راه دور کپی کرد و به طور خودکار در پلتفرم ابری واقعی وارد شد.
از آنجایی که بدافزار محلی، ضربههای کلید ورودی را به کامپیوتر از راه دور منتقل میکند، مجرمان سایبری میتوانند از طریق ورود همزمان به فضای ابری دسترسی داشته باشند. بنابراین، بطور بالقوه، دور زدن روشهای احراز هویت دو عاملی میس میشود. در این لحظه، آنها یک اتصال به فضای ابری و همان دسترسی به کاربر شبیهسازی شده را دارند.
حمله به ارائه دهنده فضای ابری
در نهایت، یک حمله ransomcloud میتواند با هدف قرار دادن مستقیم ارائه دهنده ابری به وقوع بپیوندد. این مضرترین و سودآورترین روش برای مهاجم است زیرا اگر آنها موفق شوند، به این معنی است که کل پلتفرم ابری را به خطر انداختهاند. به طور خلاصه، آنها میتوانند از همه مشتریان این سرویس آسیبدیده، درخواست باج کنند.
فضای ابری Microsoft Azure را در نظر بگیرید که در آگوست ۲۰۲۱ دارای آسیبپذیری بود و به مهاجمان امکان میدهد اختیارات را افزایش داده و به صورت جانبی در سراسر ابری مایکروسافت حرکت کنند. اگرچه این آسیبپذیری به سرعت و بدون هیچ حمله گزارش شده اصلاح شد، این حادثه حجم خطر را برجسته میکند.
مسئولیت امنیت فضای ابری
پس از بررسی این موضوع که چگونه فضای ابری ممکن است به خطر بیفتد، ممکن است بپرسیم که مسئولیت حفظ امنیت آن بر عهده کیست؟ پاسخ اینکه، این یک مسئولیت مشترک است. تأمینکنندگان فضای ابری، کسب و کارها یا ارائهدهندگان خدمات مدیریت شده آنها و حتی کارمندان منفرد، همگی در امنیت آن نقش دارند. فرد باید به سادگی مسئولیتهای لازم را در مراحل اولیه فرایند مهاجرت ابری، ایجاد نماید.
با این وجود، مهم است به یاد داشته باشید که یک کسب و کار صرف نظر از اینکه کجا میزبانی میشود، همیشه مسئول دادههای خود است. آنها باید مراقب سیاستهای مجاز، تهدیدات داخلی، کمپینهای فیشینگ و اعتبارنامههای افشا شده خود باشند. بهترین راه برای مبارزه با برخی از این چالشها، اتخاذ بهترین روشها مانند پیروی از اصل حداقل اختیار برای محدود کردن اقدامات آسیبرسان در صورت هک شدن یک حساب ابری است. همچنین، این به معنای سرمایهگذاری در آموزش آگاهی امنیتی، برای مهار تلاشهای موفق فیشینگ است. کسبوکارها همچنین باید اطمینان حاصل کنند که محیطهای ابری خود را به وضوحمانیتور کرده و میبینند تا مشکلات را زودتر شناسایی و برطرف کنند.
برچسب ها: Cloud Provider, Sync, Covid, Pandemic, Syncronization, Popup, بروکر امنیتی دسترسی ابری, CASB, Cloud Platform, پلتفرم ابری, کلود, ابر, همگامسازی, Piggybacking, Ransomcloud, Cloud database, Teams, کرونا, Google Drive, Microsoft Azure, باجافزار, Payload, اعتبارنامه, Credentials, Microsoft Teams, Slack, فضای ابری, Cloud-based, Cloud, Azure cloud, cybersecurity, Remote Code Execution, phishing, malware, ransomware , Cloud Firewall, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری