Hacktu Magazine Le magazine de la cybersécurité
Si vous avez optez pour stocker, héberger vos ressources dans le cloud et que vous pensiez être à l’abri des rançongiciels, vous faites partie de l’immense majorité de personnes qui ignorent les réalités de la sécurité du Cloud. Les attaques de ransomware deviennent monnaie courante et les opérateurs ciblent de plus en plus le cloud. Dans ce qu’on appelle le ransomware cloud, ou RansomCloud, les adversaires cherchent des moyens d’attaquer les applications cloud et les données stockées, ainsi que les entreprises basées sur le cloud.
Au cours de l’année 2021, le service d’hébergement cloud américain Cloudstar, par exemple, a été touché par une attaque sophistiquée de ransomware qui l’a paralysé pendant des jours. La société d’hébergement Web sud-coréenne Nayana, par exemple, a payé une rançon de 1 million de dollars en 2017 après que les données sur les serveurs des clients aient été cryptées.
La pandémie de Covid-19 est venue exacerber le besoin de migrer vers le Cloud, avec la relative facilité de déploiement et les nombreux avantages qu’ont connait au cloud. Mais cette ruée massive vers le Cloud en fait depuis quelques années maintenant, une cible pour les ransomware de tous genres.
Comment les cyber gangs infectent-ils les données Cloud ?
Les pirates peuvent cibler la sécurité des infrastructures du fournisseurs de services cloud. Etant donné qu’il s’agit d’une architecture centralisée et sensible, des mesures et mécanismes de sécurité sont dans la majeure partie du temps implémentées, ce qui en fait une cible relativement difficile et peu attrayante pour les pirates. Cependant, même si cela est très rare, il arrive que de gros fournisseurs de cloud soient victimes de cyberattaques massives. Le groupe APT REvil étaient par exemple parvenu à compromettre PerCSoft, un fournisseur de solutions de stockage et de sauvegarde dans le cloud.
De l’autre côté, les pirates ciblent majoritairement directement les organisations et les utilisateurs de services cloud. Les données stockées dans le cloud peuvent être attaquées et chiffrées par une infection locale des réseaux et systèmes des organisations ou obtenant l’accès à ces données stockées et services cloud. Cette deuxième approche est la plus intéressante du point de vue des attaquant, car les mécanismes de sécurité sont généralement insuffisants et les utilisateurs très sensibilisés et éduqués à la protection contre les attaques de type ingénierie sociale, brute force, password spraying, etc. En effet, les vulnérabilités des systèmes peuvent être utilisés pour déployer des shells ou tout autres codes malveillants.
Le cas des vulnérabilités zero-day trouvée dans Apache Log4j ou Micorosft exchange ont largement été utilisés par des acteurs malveillants pour compromettre des infrastructures et déployer des ransomware.
…Encore de beaux jours à venir pour les RansomCloud
Face à la pénurie d’expert en cybersécurité et la faiblesse des investissement en matière de sécurité de l’information, trouver les ressources humaines qualifiées et compétentes sur des technologies comme le cloud est un défi énorme pour la plupart des organisations. En effet, toutes les entreprise utilisant le cloud sont à risque, mais encore plus celles qui manquent de maturité dans l’architecture de services cloud sécurisés et de contrôles de sécurité pour empêcher les utilisateurs d’accorder des autorisations aux applications. Les organisations qui ne comprennent pas le soi-disant modèle de responsabilité partagée en matière de sécurité – qui signifie que l’entreprise et le fournisseur de cloud sont conjointement responsables de la sécurité – sont également à risque.
De plus, les auteurs de logiciels malveillants et les groupes criminels se réinventent et orientent leurs efforts sur les cibles les plus rentables, telles que les ressources dans le cloud. On assiste à une intensification de la « recherche et développement » de nouvelles techniques, tactiques d’attaques, méthodes de détection des vulnérabilité zero-day et le perfectionnement d’exploits et logiciels malveillants.
Le Chief Hacking Officer de KnowBe4, Kevin Mitnick, a revelé dans un billet de blog une nouvelle des plus effrayantes, dans lequel il exposait une souche « ransomcloud » fonctionnelle developpé par un de ses collaborateur, capable de crypter les comptes de messagerie cloud comme Office 365 en temps réel. Fort heureusement cette arme n’est pas encore divulguée et à la disposition du grand public, mais il y’a fort à parier que des pirates chevronnés de cybercrime organisé ou sponsorisés par des États sont en mesure de reproduire ce même type de « cyberarmes » extrêmement puissantes.
