Estan les meves dades en el núvol protegits enfront del ransomware?

El núvol ha esdevingut un recurs fonamental per a les empreses. Al voltant d’un 40% compten actualment amb un 50% o més de les càrregues de treball al núvol. Aquest context suposa un nou repte per a la ciberseguretat. Donades les possibilitats que ofereixen els entorns al núvol, les tradicionals estratègies de defensa dels perímetres de xarxa s’obren cap a l’adopció de nous controls d’accés que, juntament amb altres elements, aportin mesures de seguretat adaptades a les circumstàncies actuals.

Paral·lelament, la ciberdelinqüència està adaptant els recursos d’atac als entorns basats en el núvol. El ransomware, un tipus d’acció maliciosa que es basa en encriptar dades i demanar-ne un rescat, és un dels mecanismes que amenaça la seguretat de les dades emmagatzemades al núvol. Tradicionalment, aquests atacs s’han dirigit cap a servidors ubicats a les pròpies instal·lacions d’una organització, actuant sobre dades locals. Actualment, s’han identificat variacions respecte a aquest model:

• D’una banda, un atacant pot aconseguir comprometre el dispositiu local per, a partir d’aquí, propagar el ransomware al núvol en el moment en què les dades de la víctima es sincronitzen amb un servei d’emmagatzematge al núvol. La majoria de les solucions d’emmagatzematge al núvol usen la sincronització de fitxers per mantenir la informació en múltiples ubicacions de forma simultània, la qual cosa obre el camí per a la infecció de ransomware.
• També és possible que els ciberdelinqüents obtinguin accés directe als sistemes al núvol d’una organització a través de phishing .
• Una altra possibilitat és dirigir l’atac directament a un proveïdor de serveis al núvol per obtenir accés a les dades dels seus clients. D’aquesta manera, infectant la infraestructura del proveïdor, es poden xifrar grans quantitats de dades dels clients a través d’una sola acció. El 2021, per exemple, un estudi va anunciar que el 90% dels buckets S3 de la plataforma Amazon Web Services eren vulnerables al ransomware. Al desembre de 2022, Rackspace Technology, un dels principals proveïdors d’allotjament al núvol dels Estats Units, va ser objecte d’un atac tipus ransomware .
• Els entorns al núvol presenten, actualment, un alt grau d’homogeneïtzació quant a la seva estructura i condicions , la qual cosa permet als ciberatacants una reproducció estandarditzada de les seves accions, de manera que poden dirigir-les a un major nombre d’organitzacions d’una manera més ràpida.

Ransomware tradicional enfront ransomware al núvol

Una de les diferències del ransomware contra el núvol respecte a l’executat contra els servidors locals d’una organització és que, ara, l’objectiu es centra més en l’exfiltració de dades que en l’encriptació .

Generalment, els atacs ransomware es basen en una encriptació de fitxers que bloqueja l’accés als propietaris legítims. En no poder-ne disposar, se’ls extorsiona perquè cedeixin a les sol·licituds dels ciberdelinqüents i, d’aquesta manera, recuperar la disponibilitat de les dades criptològicament segrestades.

Pel que fa al ransomware dissenyat per atacar un entorn al núvol, el que es busca és exfiltrar les dades que no han estat degudament sotmeses a una seguretat adequada. Un cop aconseguit això, es procedeix a esborrar els fitxers originals, i se sol·licita un rescat a canvi de la seva restitució. D’aquesta manera, si l’entitat no té còpies de seguretat, cedir al xantatge pot ser l’única manera de recuperar la informació. Però, existint fins i tot còpies de seguretat, l’atacant disposa de la possibilitat de seguir amenaçant mitjançant la publicació de les dades robades .

En definitiva, quan parlem de ransomware aplicat al núvol no ens referim a tècniques d’encriptat de dades als terminals (endpoints) d’una víctima, sinó al robatori de dades extretes d’una infraestructura al núvol que, traslladades a un mitjà diferent, es mantenen segrestats fins que la víctima pagui per la devolució.

Com protegir les dades al núvol davant de ransomware

L’ augment progressiu d’atacs ransomware portats a terme contra el núvol converteix la qüestió de la seguretat en un tema de vital importància.

Seguint les directrius marcades pel compliment normatiu , conèixer les dades emmagatzemades al núvol, classificant-les en funció de la seva naturalesa i el grau necessari de protecció, és un aspecte fonamental a l’hora d’establir bones estratègies de seguretat.

Així mateix, cal revisar convenientment les configuracions implementades, evitant que una indeguda administració del sistema permeti i faciliti a l’atacant l’accés. Dur a terme revisions periòdiques, acompanyades d’ auditories tècniques , és una pràctica excel·lent per minimitzar aquest risc.

Tot i el que s’ha assenyalat respecte a l’estratègia seguida pels ciberdelinqüents davant l’existència de còpies de seguretat , cal fer-les de manera sistemàtica i planificada. És cert que no previndran l’amenaça de l’exfiltració de dades que hem esmentat més amunt, però serviran sempre en la restitució de les dades compromeses de manera que s’agilitzi la recuperació de l’organització afectada.

Per descomptat, també les infeccions de ransomware al núvol tenen el seu origen a la majoria d’ocasions a l’error humà. Cal assegurar-se que el personal d’una organització està degudament conscienciat i format per identificar i respondre davant d’un atac d’aquestes característiques.

Desenvolupar un pla de resposta a incidents i recuperació davant de desastres és bàsic per minimitzar l’impacte d’un atac de ransomware.

Per tal de reduir al màxim el radi d’acció que un atac de ransomware al núvol pot abastar, convé seguir el principi de mínim privilegi concedit a les persones que operin dins del sistema. Permetre només accessos limitats a allò específicament necessari evita l’exposició de dades crítiques a nivells innecessaris de risc, la qual cosa minimitza els estralls que un incident com del que ara parlem pugui ocasionar en una arquitectura documental basada en el núvol.

També és aconsellable disposar d’eines de filtratge de fitxers .EXE als correus electrònics. Amb aquesta mesura es redueix el risc que es puguin executar fitxers que comprometin la seguretat del sistema.

De manera semblant, s’han de conèixer les extensions ocultes que pugui contenir un arxiu, cosa que contribuirà que s’identifiquin aquelles que, amagades sota l’aparença de les que són innòcues, en realitat tanquen el perill d’afectar seriosament l’entorn de treball, inclosa la infraestructura al núvol.D’altra banda, cal saber molt bé on acaba la responsabilitat del proveïdor de serveis al núvol i on comença la del client respecte a la seguretat de les dades emmagatzemades. S’ha de comprendre clarament quines són les condicions i abasts contractats, de manera que se sàpiga com actuar en conseqüència en cas de produir-se un atac ransomware al núvol.

Adoptar mesures adequades per mitigar riscos al núvol

En general, a l’hora d’emmagatzemar i gestionar grans quantitats de dades cada vegada més empreses estan migrant al núvol. Aquesta tecnologia ofereix avantatges significatius, incloent avançades mesures de seguretat . Tot i això, la perillosa amenaça d’un atac ransomware segueix molt present en aquest entorn.

L’emmagatzematge al núvol és vulnerable a aquest tipus de codi maliciós en gran part a causa de la sincronització d’arxius des d’unitats locals, tradicional vector d’entrada per a aquest tipus de recurs delictiu. Alhora, el núvol no és un espai lliure de ransomware, ja que hi ha atacs específicament dissenyats per a aquest ecosistema on, en comptes de posar el punt de mira a les organitzacions que contracten aquest servei, les accions delictives se centren en les vulnerabilitats detectades en els mateixos proveïdors. No obstant això, és important destacar que, malgrat que el núvol és susceptible de rebre atacs ransomware, al mateix temps aquesta tecnologia ofereix importants avantatges respecte a l’emmagatzematge de dades. Adoptant les mesures adequades (algunes de les principals les hem recollit en aquest article) els riscos d’un atac ransomware poden ser convenientment mitigats.