Le dernier rapport Palo Alto Networks Unit 42 Cloud Mense Rapport a révélé que les données sensibles se trouvent dans 66% des seaux de stockage cloud. Ces données sont vulnérables aux attaques de ransomwares. L’Institut SANS récemment signalé que ces attaques peuvent être effectuées en abusant des contrôles de sécurité de stockage du fournisseur de cloud et des paramètres par défaut.
“Au cours des derniers mois, j’ai assisté à deux méthodes différentes pour exécuter une attaque de ransomware en utilisant que des fonctionnalités de sécurité cloud légitimes”, prévient Brandon Evans, consultant en sécurité et instructeur certifié SANS. Halcyon a divulgué une campagne d’attaque qui a exploité l’un des mécanismes de cryptage natifs d’Amazon S3, SSE-C, pour crypter chacun des seaux cibles. Quelques mois auparavant, le consultant en sécurité Chris Farris a démontré comment les attaquants pouvaient effectuer une attaque similaire en utilisant une fonctionnalité de sécurité AWS différente, KMS Clés avec un matériau de clé externe, en utilisant des scripts simples générés par Chatgpt. “De toute évidence, ce sujet est haut de l’esprit pour les acteurs de la menace et les chercheurs”, note Brandon.
Pour aborder les ransomwares du cloud, SANS recommande aux organisations de:
- Comprendre la puissance et les limites des contrôles de sécurité du cloud: L’utilisation du cloud ne rend pas automatiquement vos données en sécurité. “Les premiers services cloud que la plupart des gens utilisent sont des solutions de sauvegarde de fichiers comme OneDrive, Dropbox, iCloud et autres”, explique Brandon. “Bien que ces services aient généralement des capacités de récupération de fichiers activées par défaut, ce n’est pas le cas pour Amazon S3, Azure Storage ou Google Cloud Storage. Il est essentiel pour les professionnels de la sécurité de comprendre comment ces services fonctionnent et de ne pas supposer que le cloud les sauvera.”
- Bloquer les méthodes de cryptage des nuages non pris en charge: AWS S3 SSE-C, matériau de clé externe AWS KMS et des techniques de chiffrement similaires peuvent être abusées car l’attaquant a un contrôle total sur les clés. Les organisations peuvent utiliser des politiques d’identité et de gestion de l’accès (IAM) pour imposer la méthode de chiffrement utilisée par S3, telles que SSE-KMS à l’aide de matériaux clés hébergés dans AWS.
- Activer les sauvegardes, les versioning d’objets et le verrouillage des objets: Ce sont quelques-uns des contrôles d’intégrité et de disponibilité pour le stockage cloud. Aucun d’entre eux n’est activé par défaut pour aucun des 3 fournisseurs de cloud Big 3. S’ils sont utilisés correctement, ils peuvent augmenter les chances qu’une organisation puisse récupérer ses données après une attaque de ransomware.
- Équilibrez la sécurité et les coûts avec les politiques du cycle de vie des données: Ces fonctionnalités de sécurité coûtent de l’argent. “Les fournisseurs de cloud n’hébergeront pas de vos versions de données ou de vos sauvegardes gratuitement. En même temps, votre organisation ne vous donnera pas de vérification en blanc pour la sécurité des données”, explique Brandon. Chacun des Big 3 Cloud Providers permet aux clients de définir une politique de cycle de vie. Ces politiques permettent aux organisations de supprimer automatiquement des objets, des versions et des sauvegardes lorsqu’elles ne sont plus jugées nécessaires. Sachez cependant que les attaquants peuvent également tirer parti des politiques de cycle de vie. Ils ont été utilisés dans la campagne d’attaque mentionnée précédemment pour exhorter la cible à payer la rançon rapidement.
Pour en savoir plus, regardez la webdiffusion de Brandon, “Le cloud ne vous sauvera pas du ransomware: voici ce qui sera”, en visitant https://www.sans.org/webcasts/cloud-wont-save-you-from-ransomware-heres-what-will/
Intéressé par des tactiques supplémentaires pour atténuer les attaques chez les Big 3 Cloud Providers? Découvrez le cours de Brandon, SEC510: contrôles et atténuations de sécurité du cloud à Sans 2025 à Orlando ou en direct en ligne en avril. Ce cours est également disponible avec Brandon plus tard dans l’année dans Baltimore, MD en juin ou Washington, DC en juillet.

