Réfexions sur le RansomCloud

Les cybercriminels étendent leurs efforts de chiffrement à vos données stockées sur des référentiels cloud, sur le stockage Amazon EC2 ou les blobs de stockage Microsoft Azure, c'est du RansomCloud.

Les rançongiciels classiques cryptent généralement vos ordinateurs et serveurs et toutes les données qui y résident. Après avoir extrait certaines de ces données, les cybercriminels peuvent augmenter la pression sur les entreprises pour leur demander des rançons.

Lorsque les cybercriminels étendent leurs efforts de chiffrement à vos données stockées sur des référentiels cloud, tels que le stockage Amazon EC2 ou les blobs de stockage Microsoft Azure, cela s'appelle RansomCloud.

Le chemin d'attaque est généralement comparable à une attaque de ransomware classique, en accédant d'abord au compte de certains utilisateurs pour télécharger et exécuter des logiciels malveillants spécialement conçus pour nuire. Dans une attaque de malware classique, les cybercriminels se concentreront sur les données stockées sur les systèmes locaux, infectant d'autres clients du même réseau jusqu'à ce qu'ils aient chiffré tous les systèmes et données du site. Dans le cas de RansomCloud, les cybercriminels utilisent le client infecté pour accéder à ces référentiels de stockage dans le cloud, que les entreprises utilisent pour sauvegarder leurs données.

Ils ont quelques astuces différentes dans leurs manches, comme inviter l'utilisateur sur la machine affectée avec un simple message contextuel qui peut ressembler à une demande d'autorisation d'un logiciel de confiance comme un scanner antivirus.

L'utilisateur accorderait alors à un autre malware hébergé dans le cloud l'accès à ses données cloud. De même, ils peuvent capturer les informations d'identification de l'utilisateur - et potentiellement même le deuxième facteur - pour s'authentifier auprès des ressources cloud et les relayer vers un deuxième système via l'accès au cloud.

La plupart des méthodes de formation bien connues pour empêcher les utilisateurs de cliquer sur des liens malveillants dans les e-mails ou sur les sites Web restent un aspect essentiel des pratiques de sécurité d'une entreprise.

Mais toute entreprise doit également réduire la probabilité de succès d'attaques spécifiques en sécurisant sa configuration cloud. Pourquoi tout utilisateur final devrait-il avoir le choix de l'application à laquelle faire confiance pour accéder aux ressources cloud ? Vous voudrez modifier la configuration par défaut de votre locataire cloud pour vous assurer que les inscriptions d'applications suivent un flux de travail d'approbation approprié - c'est essentiel pour réduire la probabilité des attaques RansomCloud les plus courantes. Il existe un certain nombre de mesures supplémentaires à prendre en compte pour réduire les vecteurs d'attaque du cloud, comme s'assurer que les comptes synchronisés à partir d'un système d'identité sur site comme Active Directory ne bénéficient pas d'un accès privilégié dans le locataire cloud d'une entreprise.

Ces mesures de sécurité et bien d'autres sont à validées en permanence et doivent servir d'outils de surveillance pour avertir des configurations de cloud à risque. C'est un impératif, et non un luxe, il faut utiliser de tels outils de sécurité pour aider à réduire la vulnérabilité des ressources cloud d'une entreprise.