Come proteggersi dagli attacchi RansomCloud

Di Guido Grillenmeier, chief technologist, Semperis
Il ransomware classico generalmente cripta i computer, i server e tutti i dati che risiedono su di essi. Dopo aver estratto alcuni di quei dati, i criminali informatici sono in grado di fare pressione sull’azienda colpita chiedendo il riscatto.
Quando i criminali informatici estendono la crittografia ai dati memorizzati su repository cloud, come Amazon EC2 storage o Microsoft Azure storage blobs, questa pratica viene definita RansomCloud.
Il percorso dell’attacco è solitamente paragonabile a un tradizionale attacco ransomware, ottenendo prima l’accesso al client di qualche utente per scaricare ed eseguire malware appositamente progettato per i loro scopi malevoli. In un classico attacco malware, i criminali informatici si concentrano sui dati memorizzati nei sistemi locali, infettando altri client della stessa rete fino a quando non hanno criptato tutti i sistemi e i dati on-premise. Nel caso del RansomCloud, i criminali informatici utilizzano il client infetto per raggiungere i repository di cloud storage, utilizzato a volte dalle aziende anche per il backup dei loro dati on-premise.
Vengono impiegati altri stratagemmi, come far comparire all’utente dalla postazione colpita un semplice messaggio pop-up che può sembrare una richiesta di autorizzazione da un software affidabile, come ad esempio uno scanner anti-virus. In questo modo l’utente garantisce quindi a un altro malware ospitato nel cloud l’accesso ai propri dati cloud. Allo stesso modo, i cyber criminali potrebbero acquisire le credenziali dell’utente (e potenzialmente anche l’autenticazione a due fattori) per autenticarsi alle risorse cloud e trasmetterle a un secondo sistema per l’accesso al cloud.
Sembrerà strano ma uno degli aspetti più critici nelle procedure di sicurezza delle organizzazioni risiede nei metodi di formazioni più noti per evitare che gli utenti clicchino su link malevoli ricevuti via mail o direttamente su siti web.
D’altro canto, ogni azienda dovrebbe impegnarsi per ridurre la probabilità di successo di attacchi specifici, mettendo in sicurezza la propria configurazione del cloud.
Perché un utente finale dovrebbe poter scegliere quale app ritenere affidabile per l’accesso alle risorse cloud? Sarà necessario cambiare la configurazione predefinita nel proprio cloud-tenant per garantire che le registrazioni delle applicazioni seguano un flusso di lavoro di approvazione adeguato; questo è fondamentale per ridurre la probabilità di successo dei più comuni attacchi RansomCloud.
Vi sono una serie di misure aggiuntive da considerare per ridurre i vettori di attacco al cloud, come ad esempio garantire che gli account sincronizzati da un sistema di identità on-premise come Active Directory non abbiano accesso privilegiato nel tenant cloud di un’azienda.
Queste e molte altre misure di sicurezza sono convalidate continuamente e servono come strumenti di monitoraggio per avvertire la presenza di configurazioni cloud rischiose. È categorico, e non un’opzione, utilizzare questi strumenti di sicurezza per aiutare a ridurre la vulnerabilità delle risorse cloud di un’azienda.
Contenuti correlati
-
Le cinque funzionalità chiave delle soluzioni ITDR per le aziende
di Darren Mar-Elia, VP of Products, Semperis La sicurezza incentrata sulle identità sarà sulla bocca di tutti nel 2023. Negli ultimi anni le aziende sono passate a modelli più flessibili per adattarsi alla così detta epoca della...
-
Resilienza operativa: oltre il semplice ripristino di emergenza
Di Sean Deuby, Semperis Principle Technologist Per contrastare l’incremento di attacchi informatici e le relative conseguenze sulle attività aziendali, molte organizzazioni stanno adattando le proprie procedure di ripristino di emergenza con misure per rispondere a questo tipo...
-
Conosci l’AikidoWiper?
di Guido Grillenmeier, Chief Technologist di Semperis Durante conferenza Blackhat, il ricercatore di SafeBreach Or Yair, ha svelato una lacuna sulla sicurezza nelle soluzioni EDR (Endpoint Detection and Response) e ha effettuato una dimostrazione. Attraverso un account...
-
La cybersecurity del 2022 vista da Semperis
Guido Grillenmeier, Chief Technologist di Semperis Nel 2022 abbiamo avuto dimostrazione più di quanto si potesse prevedere che la guerra informatica è quantomai reale e che non fa distinzione fra confini fisici dei Paesi. Attacchi che hanno...
-
Indicatori di sicurezza di Azure AD nella nuova release di Purple Knight
Semperis ha rilasciato la versione 1.5 di Purple Knight, lo strumento gratuito per la valutazione della sicurezza di Active Directory (AD) che consente ora di identificare e risolvere le lacune di sicurezza nel proprio ambiente di identità...
-
La cybersicurezza nel 2022
Guido Grillenmeier, Chief Technologist di Semperis, descrive, secondo la sua esperienza, quali eventi possiamo aspettarci il prossimo anno nello scenario delle reti aziendali e della cybersicurezza. L’innalzamento del grado di sicurezza delle reti è direttamente proporzionale all’esperienza...
-
Ransomware: il settore manifatturiero in prima fila
Maurizio Tondi, Director Security Strategy di Axitea, ha analizzato il crescente fenomeno del ransomware e i comportamenti da tenere quando si viene attaccati. Device bloccati e dati inaccessibili o sottratti; ricatti dietro cui si cela la minaccia...
-
Ransomware: ci vuole il piano B
L’escalation degli attacchi Ransomware ad aziende e istituzioni evidenzia la necessità di disporre di un robusto piano di Disaster Recovery. Negli ultimi anni gli attacchi informatici per mezzo di malware hanno subito un’inquietante evoluzione che ha visto...