Ataque ransomware na Nuvem
17 de Março de 2025

O mais recente Relatório de Ameaças na Nuvem da Unit 42 da Palo Alto Networks descobriu que dados sensíveis são encontrados em 66% dos buckets de armazenamento em nuvem.

Esses dados estão vulneráveis a ataques de ransomware.

O Instituto SANS relatou recentemente que esses ataques podem ser realizados abusando dos controles de segurança de armazenamento do provedor de nuvem e das configurações padrão.

"Nos últimos meses, testemunhei dois métodos diferentes para executar um ataque de ransomware usando nada além dos recursos legítimos de segurança na nuvem", alerta Brandon Evans, consultor de segurança e instrutor certificado do SANS.

A Halcyon divulgou uma campanha de ataque que aproveitou um dos mecanismos de criptografia nativos da Amazon S3, o SSE-C, para criptografar cada um dos buckets alvo.

Alguns meses antes, o consultor de segurança Chris Farris demonstrou como os atacantes poderiam realizar um ataque semelhante usando um recurso de segurança da AWS diferente, chaves KMS com material de chave externo, usando scripts simples gerados pelo ChatGPT.

"Claramente, este tópico está em alta tanto para os atores de ameaças quanto para os pesquisadores", observa Brandon.

Para combater o ransomware na nuvem, o SANS recomenda que as organizações:

Entendam o poder e as limitações dos controles de segurança na nuvem: Usar a nuvem não torna automaticamente seus dados seguros.

"Os primeiros serviços de nuvem que a maioria das pessoas utiliza são soluções de backup de arquivos como OneDrive, Dropbox, iCloud e outros", explica Brandon.

Embora esses serviços geralmente tenham capacidades de recuperação de arquivos habilitadas por padrão, esse não é o caso para Amazon S3, Azure Storage ou Google Cloud Storage.

É crítico para os profissionais de segurança entenderem como esses serviços funcionam e não assumir que a nuvem vai salvá-los.

Bloqueiem métodos de criptografia na nuvem não suportados: AWS S3 SSE-C, AWS KMS com material de chave externo e técnicas de criptografia semelhantes podem ser abusadas porque o atacante tem controle total sobre as chaves.

As organizações podem usar políticas de Identity and Access Management (IAM) para determinar o método de criptografia usado pelo S3, como SSE-KMS usando material de chave hospedado na AWS.

Habilitem backups, versionamento de objetos e bloqueio de objetos: Esses são alguns dos controles de integridade e disponibilidade para armazenamento em nuvem.

Nenhum deles está habilitado por padrão para nenhum dos três grandes provedores de nuvem.

Se usados corretamente, podem aumentar as chances de uma organização recuperar seus dados após um ataque de ransomware.

Equilibrem segurança e custo com políticas de ciclo de vida de dados: Esses recursos de segurança custam dinheiro.

"Os provedores de nuvem não vão hospedar suas versões de dados ou backups gratuitamente. Ao mesmo tempo, sua organização não vai lhe dar um cheque em branco para a segurança dos dados", diz Brandon.

Cada um dos três grandes provedores de nuvem permite que os clientes definam uma política de ciclo de vida.

Essas políticas permitem que as organizações excluam automaticamente objetos, versões e backups quando não forem mais considerados necessários.

Esteja ciente, no entanto, de que os atacantes também podem aproveitar as políticas de ciclo de vida.

Elas foram usadas na campanha de ataque mencionada anteriormente para pressionar o alvo a pagar o resgate rapidamente.

Para saber mais, assista ao webcast de Brandon, "A Nuvem Não Vai Salvar Você do Ransomware: Aqui Está o Que Vai", visitando https://www.sans.org/webcasts/cloud-wont-save-you-from-ransomware-heres-what-will/
Interessado em táticas adicionais para mitigar ataques nos três grandes provedores de nuvem? Confira o curso de Brandon, SEC510: Cloud Security Controls and Mitigations no SANS 2025 em Orlando ou ao vivo online em abril.

Este curso também está disponível com Brandon mais tarde, no ano em Baltimore, MD em junho ou Washington, DC em julho.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...