Guido Grillenmeier di Semperis mette in guardia sui pericoli degli attacchi RansomCloud e spiega come difendersi da essi.

RansomCloud

Il ransomware classico generalmente cripta i computer, i server e tutti i dati che risiedono su di essi. Dopo aver estratto alcuni di quei dati, i criminali informatici sono in grado di fare pressione sull’azienda colpita chiedendo il riscatto. Quando i criminali informatici estendono la crittografia ai dati memorizzati su repository cloud, come Amazon EC2 storage o Microsoft Azure storage blobs, questa pratica viene definita RansomCloud.

Il percorso dell’attacco è solitamente paragonabile a un tradizionale attacco ransomware, ottenendo prima l’accesso al client di qualche utente per scaricare ed eseguire malware appositamente progettato per i loro scopi malevoli. In un classico attacco malware, i criminali informatici si concentrano sui dati memorizzati nei sistemi locali, infettando altri client della stessa rete fino a quando non hanno criptato tutti i sistemi e i dati on-premise. Nel caso del RansomCloud, i criminali informatici utilizzano il client infetto per raggiungere i repository di cloud storage, utilizzato a volte dalle aziende anche per il backup dei loro dati on-premise.

Vengono impiegati altri stratagemmi, come far comparire all’utente dalla postazione colpita un semplice messaggio pop-up che può sembrare una richiesta di autorizzazione da un software affidabile, come ad esempio uno scanner anti-virus. In questo modo l’utente garantisce quindi a un altro malware ospitato nel cloud l’accesso ai propri dati cloud. Allo stesso modo, i cyber criminali, tramite l’attaccom RansomCloud, potrebbero acquisire le credenziali dell’utente (e potenzialmente anche l’autenticazione a due fattori) per autenticarsi alle risorse cloud e trasmetterle a un secondo sistema per l’accesso al cloud.

Sembrerà strano ma uno degli aspetti più critici nelle procedure di sicurezza delle organizzazioni risiede nei metodi di formazioni più noti per evitare che gli utenti clicchino su link malevoli ricevuti via mail o direttamente su siti web.

D’altro canto, ogni azienda dovrebbe impegnarsi per ridurre la probabilità di successo di attacchi specifici, mettendo in sicurezza la propria configurazione del cloud.

Perché un utente finale dovrebbe poter scegliere quale app ritenere affidabile per l’accesso alle risorse cloud? Sarà necessario cambiare la configurazione predefinita nel proprio cloud-tenant per garantire che le registrazioni delle applicazioni seguano un flusso di lavoro di approvazione adeguato; questo è fondamentale per ridurre la probabilità di successo dei più comuni attacchi RansomCloud.

Vi sono una serie di misure aggiuntive da considerare per ridurre i vettori di attacco RansomCloud, come ad esempio garantire che gli account sincronizzati da un sistema di identità on-premise come Active Directory non abbiano accesso privilegiato nel tenant cloud di un’azienda.

Queste e molte altre misure di sicurezza sono convalidate continuamente e servono come strumenti di monitoraggio per avvertire la presenza di configurazioni cloud rischiose. È categorico, e non un’opzione, utilizzare questi strumenti di sicurezza per aiutare a ridurre la vulnerabilità delle risorse cloud di un’azienda.

di Guido Grillenmeier, Chief Technologist, Semperis