Gli attacchi ransomware alle infrastrutture cloud rappresentano un tema costante e popolare nel settore della cloud security. I servizi cloud sono più vantaggiosi rispetto a quelli basati su endpoint e server web, perché presentano una superficie di attacco ridotta. Ad eccezione dei servizi di computing, che utilizzano un sistema operativo virtuale nel cloud, i cloud services non prevedono un sistema operativo, quindi, i file di ransomware più diffusi su Windows e Linux non sono in grado di colpirli efficacemente.
Nel documento si indicano esempi di tool progettati per attaccare i server web con ransomware o per sfruttare i servizi cloud in modo da caricare i file, prima di crittografarli localmente su un endpoint. Seguono alcuni riferimenti a script ideati per eseguire attacchi ransomware sui cloud services, con il riferimento ai diversi strumenti di red teaming disponibili su GitHub.
Nota: questa analisi non include gli attacchi contro l’infrastruttura cloud on-premise, come VMWare ESXi. Gli hacker di ransomware hanno preso come bersaglio ESXi, il primo sistema Linux ampiamente attaccato da gruppi organizzati.
Come operano gli attacchi ransomware che colpiscono il cloud
Gli attacchi ransomware al cloud interessano maggiormente servizi di storage cloud-based, come il Simple Storage Service (S3) di Amazon o il Blob Storage di Azure. Anche se ogni esecuzione ha le sue particolarità, un attacco ransomware si verifica quando l’aggressore trova un servizio di storage accessibile e ne riesce a copiare il contenuto in una destinazione da lui controllata, criptando o eliminando i file dall’istanza della vittima.
I cloud service providers (CSP) hanno sviluppato strategie di sicurezza volte a ridurre il rischio di una perdita definitiva dei dati. Un esempio è il Key Management Service (KMS) di AWS, che impone una finestra di 7 giorni tra la richiesta di eliminazione di una copia e la sua effettiva cancellazione permanente, dando agli utenti il tempo necessario per identificare e contrastare un attacco ransomware crittografico contro le istanze S3.
Una delle tecniche adoperate per avviare attacchi ransomware al cloud, illustrata qui da Rhino Security, sfrutta bucket S3 configurati con privilegi d’accesso troppo estesi. In questi casi, l’attaccante ottiene permessi di scrittura, spesso a causa di una configurazione errata o tramite credenziali valide trovate nell’ambiente della vittima. Questa procedura utilizza una nuova key, che grazie al KMS di Amazon, viene programmata per l’eliminazione e rimane soggetta alla finestra temporale di 7 giorni prima della cancellazione definitiva nell’ambiente della vittima.
Un altro metodo mira a compromettere i volumi di archiviazione di Amazon (Elastic Block Store o EBS). L’attaccante crea una nuova chiave di sicurezza KMS, copia i dati dal volume in uno snapshot, li cripta e poi elimina il volume originale non protetto. Di nuovo, Amazon non permette di cancellare definitivamente la copia prima di 7 giorni, una volta programmata la sua eliminazione dall’aggressore, permettendo alla vittima di intervenire.
A ottobre di quest’anno, il ricercatore Harsh Varagiya, ha illustrato un’altra possibile tecnica per criptare file su AWS utilizzando chiavi gestite dal cliente, chiamate Bring Your Own Key (BYOK) e archivi di chiavi esterni (XKS). In questo modo i file risultano criptati e solo la vittima possiede la chiave per decifrarli, rendendo così impossibile al cloud provider di recuperare i dati. È un tipo di attacco piuttosto raro, perché interessa solo ambienti in cui si usano chiavi personalizzate. Per queste aziende diventa quasi impossibile recuperare i dati senza ottenere la key creata dall’hacker. In situazioni simili, per proteggersi, le imprese possono attuare policy di controllo dei servizi (Service Control Policies, SCP), in grado di bloccare operazioni su API rischiose, inclusa l’API KMS di AWS.
Il Ransomware che utilizza i servizi cloud per l’esfiltrazione dei dati
I servizi cloud, oltre a essere bersaglio di attacchi ransomware, vengono usati dai cybercriminali per esfiltrare dati per cui intendono chiedere il riscatto. Nel settembre 2024, modePUSH ha reso noto che i gruppi ransomware BianLian e Rhysida hanno usato Azure Storage Explorer per esfiltrare i dati dagli ambienti delle vittime, al posto di tool come MEGAsync e rclone. È di ottobre 2024, la segnalazione da parte di Trend Micro di un caso in cui un hacker, imitando il gruppo Lockbit, ha usato campioni di malware che sfruttano lo storage S3 di Amazon, per esfiltrare dati rubati dai sistemi Windows e macOS colpiti.
I SentinelLabs hanno scoperto su VirusTotal uno script Python, chiamato RansomES per via dei commenti in spagnolo trovati nel codice. RansomES è progettato per funzionare su sistemi Windows e cercare file con estensioni come .doc, .xls, .jpg, .png o .txt. Lo script individua anche metodi per esfiltrare i file verso S3 o FTP, per poi crittografare le copie locali.
Attacchi ransomware alle applicazioni web
Le applicazioni web vengono spesso eseguite in cloud per via della loro natura semplice, ideale per questo tipo di infrastrutture. In questi ambienti, le applicazioni richiedono meno configurazioni e manutenzione ma sono vulnerabili agli attacchi ransomware.
I SentinelLabs hanno identificato diversi script di ransomware che puntano ad applicazioni web. Tra questi, uno script Python chiamato Pandora, uno strumento multifunzione che colpisce vari servizi web. Questo tool non è collegato al gruppo ransomware Pandora, che usa file binari per attaccare i sistemi Windows. Lo script Pandora utilizza la crittografia AES per colpire diversi tipi di sistemi, tra cui server PHP, Android e Linux.
SentinelOne hanno scoperto un altro script, proveniente dal gruppo IndoSec, operante dall’Indonesia. E’ una backdoor che l’hacker può usare per gestire e cancellare file, oltre che per attacchi ransomware. Lo script esplora le directory e codifica i file in base64, inviando i dati a un servizio remoto per la crittografia. Questo approccio è interessante perché la crittografia avviene tramite un servizio remoto.
Conclusioni
Gli attacchi ransomware alle infrastrutture cloud sono una minaccia emergente, anche se le aziende sono preparate a difendersi, rispetto agli anni passati. SentinelOne consiglia di adottare una soluzione di Cloud Security Posture Management (CSPM), fondamentale per l’analisi e il monitoraggio degli ambienti cloud, capace di segnalare problemi come configurazioni errate o privilegi di accesso troppo estesi nei bucket di storage. Questi sono infatti i punti deboli dei cloud, che gli hacker sfruttano per eseguire gli attacchi ransomware. Resta di primaria importanza l’impiego di validi tool di gestione delle identità, come l’uso obbligatorio dell’autenticazione a più fattori (MFA) per tutti gli account amministrativi e la realizzazione di sistemi di protezione runtime per proteggere workload e risorse cloud.
Di Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne
