In een recent onderzoek heeft Dig Security gekeken naar de aanhoudende effectiviteit van ransomware-aanvallen, vooral die in de cloud. Ondanks aanhoudende investeringen en de nadruk op defensieve cyberbeveiligingsmaatregelen blijven grote organisaties bezwijken voor ransomware-aanvallen in de cloud. Het onderzoek brengt een verrassende discrepantie aan het licht tussen de huidige gegevensbeveiligingspraktijken en de evoluerende tactieken die door ransomwaregroepen worden toegepast. Het onderzoek identificeert vier primaire technieken bij cloudgebaseerde ransomware-aanvallen: gegevens verwijderen, overschrijven, opnieuw versleutelen en de sleutel uitschakelen.
Gegevensverwijdering houdt in dat bedreigingsactoren gegevens verwijderen na exfiltratie, waardoor ze exclusieve toegang krijgen. De doeltreffendheid ervan neemt aanzienlijk af naarmate versiebeheer en een robuust objectlevenscyclusbeleid van kracht zijn. Een effectief objectlevenscyclusbeleid verbetert de beveiliging van gegevens die zijn opgeslagen in een cloudomgeving, waardoor het voor aanvallers een grotere uitdaging wordt om gegevens discreet te verwijderen.
De Object Override-techniek houdt in dat aanvallers systematisch elk object in een cloudbucket vervangen door een leeg bestand, waardoor de gegevens onbruikbaar worden. Bij deze methode wordt lokaal een leeg bestand gemaakt, waardoor aanvallers legitieme objecten met het lege bestand kunnen overschrijven. De aanvaller verwijdert het object feitelijk zonder verwijderingsrechten. Deze aanpak verstoort de toegang tot gegevens aanzienlijk en kan worden uitgevoerd zonder bepaalde machtigingen te verhogen.
Objectencryptie/herencryptie kan worden uitgevoerd op alle objecten binnen een gerichte cloudopslagbucket. Deze methode omvat het lezen van elk bestand in de bucket en het vervolgens opnieuw uploaden ervan met behulp van een gelokaliseerde coderingssleutel. De crux ligt in het decoderingsproces van bestanden dat afhankelijk is van een coderingssleutel die in het bezit is van een aanvaller. Het bezit van de coderingssleutel geeft de aanvaller volledige controle totdat hij losgeld ontvangt. Deze veelgebruikte techniek kan de hersteltijd van organisaties tot weken of maanden uitrekken.
De acceptatie van Multi-Factor Authenticatie (MFA) en versiebeheer in cloudomgevingen is van cruciaal belang bij het beperken van ransomware-bedreigingen
Aanvallers maken misbruik van de Disable Key-methode, die is ontworpen om gegevens te beschermen door de verwijdering van actief gebruikte coderingssleutels te plannen, waardoor gecodeerde gegevens ontoegankelijk worden. Met name vereist dit proces een kennisgeving van minimaal zeven dagen van tevoren. Je zou dit in eerste instantie kunnen zien als een gemakkelijk detecteerbare en onwaarschijnlijke aanvalsvector. De realiteit is echter dat in een productieomgeving met een veelheid aan sleutels het risico aanzienlijk aannemelijk wordt.
Uit recente gegevensbeveiligingsbeoordelingen door de statistieken van Dig blijkt dat er kwetsbaarheden zijn. Slechts 10% van de gecodeerde buckets maakt gebruik van Customer Master Keys (CMK) voor verhoogde beveiliging, en een opvallende 72% van de op afstand beheerde CMK-buckets ontbeert actieve monitoring. Maatregelen op het gebied van gegevensbescherming laten ook verschillen zien: 31% heeft versiebeheer ingeschakeld, 67% implementeert logboekregistratie, maar slechts 1% gebruikt objectvergrendeling om cruciale datamanipulatie te voorkomen.
Dig benadrukt de effectiviteit van Data Security Posture Management bij het helpen van bedrijven bij het beoordelen van risico’s in de cloud. Nu organisaties blijven strijden tegen ransomware, is het van cruciaal belang om nieuwe tools en praktijken te implementeren die klantgegevens beschermen.
