Il recente rapporto di Palo Alto Networks Unit 42 ha rivelato che il 66% dei bucket di archiviazione cloud contiene dati sensibili, rendendoli vulnerabili agli attacchi ransomware. L'Istituto SANS ha recentemente avvisato che questi attacchi possono essere eseguiti sfruttando i controlli di sicurezza del provider cloud e le impostazioni predefinite. Brandon Evans, consulente di sicurezza e istruttore certificato SANS, ha osservato che negli ultimi mesi sono stati visti due metodi distinti per eseguire un attacco ransomware utilizzando solo funzionalità di sicurezza cloud legittime. Un attacco recente ha sfruttato uno dei meccanismi di crittografia nativi di Amazon S3, SSE-C, per crittografare ogni bucket target. In precedenza, un consulente di sicurezza aveva dimostrato un attacco simile utilizzando un'altra funzionalità di sicurezza AWS, le chiavi KMS con materiale chiave esterno, attraverso script generati da ChatGPT.

Affrontare il ransomware nel cloud

Per affrontare il ransomware nel cloud, SANS raccomanda alle organizzazioni di comprendere il potere e i limiti dei controlli di sicurezza del cloud. Utilizzare il cloud non garantisce automaticamente la sicurezza dei dati. È fondamentale per i professionisti della sicurezza capire come funzionano questi servizi e non presumere che il cloud li salverà. Inoltre, è importante bloccare i metodi di crittografia non supportati. Tecniche come AWS S3 SSE-C e AWS KMS con materiale chiave esterno possono essere abusate perché l'attaccante ha il controllo completo sulle chiavi. Le organizzazioni possono utilizzare le politiche di Identity and Access Management (IAM) per imporre il metodo di crittografia utilizzato da S3, come SSE-KMS con materiale chiave ospitato in AWS.

Un altro consiglio è abilitare i backup, il versioning degli oggetti e il blocco degli oggetti. Questi sono alcuni dei controlli di integrità e disponibilità per lo storage cloud. Nessuno di essi è abilitato di default per nessuno dei principali provider cloud, ma se utilizzati correttamente, possono aumentare le possibilità che un'organizzazione possa recuperare i propri dati dopo un attacco ransomware. Infine, è essenziale bilanciare la sicurezza e i costi con le politiche di ciclo di vita dei dati. Queste funzionalità di sicurezza hanno un costo. I provider cloud non ospiteranno gratuitamente le versioni dei dati o i backup. Allo stesso tempo, la vostra organizzazione non vi darà un assegno in bianco per la sicurezza dei dati. Ogni provider cloud consente ai clienti di definire una policy di ciclo di vita, che permette di eliminare automaticamente oggetti, versioni e backup quando non sono più necessari. Tuttavia, gli attaccanti possono sfruttare queste policy per spingere il target a pagare rapidamente il riscatto.