Umjesto da zaključavaju datoteke na lokalnim računalima, hakeri sada prilagođavaju svoje taktike cloud okruženjima. Njihova meta su korisnički računi s administratorskim ovlastima, jer im oni omogućuju kontrolu nad cijelim sustavom neke kompanije.
Microsoft je opisao slučaj u kojem je skupina poznata pod imenom Storm-0501 uspjela kompromitirati veliku kompaniju s više podružnica. Napad je započeo preko slabije zaštićenih sustava na kojima sigurnosni alati nisu bili aktivirani. Pronašli su račun bez višefaktorske autentikacije (MFA), resetirali lozinku i dodali vlastitu MFA metodu. Tako su dobili potpuni pristup cloud infrastrukturi – mogli su se prijavljivati kao bilo koji korisnik i slobodno istraživati mrežu.
Skupina Storm-0501 poznata je još od 2021. godine, kada je koristila ransomware Sabbath za napade na školske okruge u SAD-u. Tijekom 2024. napadali su i zdravstvene ustanove koristeći ransomware Embargo.
U ovoj novoj kampanji, nakon što su ušli u sustav, napadači su brzo izvukli velike količine podataka iz cloud okruženja, obrisali sigurnosne kopije kako bi spriječili žrtvu da ih povrati, pokušali iskoristiti cloud mehanizme za šifriranje datoteka te su na kraju kontaktirali žrtvu putem Microsoft Teamsa koristeći kompromitirani račun i zatražili otkupninu.
Iako im, zahvaljujući postojećim zaštitama, nije uspjelo potpuno zaključati sve podatke, kompanija je ipak ostala u ozbiljnim problemima.
Ova kampanja jasno pokazuje da se ransomware skupine prilagođavaju novim tehnologijama. Cloud sustavi postaju glavna meta jer sadrže ključne poslovne podatke.
Stoga je obavezna upotreba višefaktorske autentikacije (MFA), praćenje aktivnosti korisničkih računa i razina pristupa, redovita provjera sigurnosnih postavki cloud servisa (kako bi se spriječilo da pojedine podružnice ili računi ostanu nezaštićeni) te sigurno pohranjivanje sigurnosnih kopija izvan primarnog cloud okruženja, kako bi se omogućio oporavak u slučaju napada.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.