Microsoft upozorava: Rastu ransomver napadi u cloud okruženjima
Ransomver napadi više nisu ograničeni na lokalne računare i zaključane fajlove. Kriminalne grupe su prepoznale pravu vrednost savremenog poslovanja, a to su podaci koji se čuvaju i obrađuju u oblaku. Microsoft je nedavno upozorio na ozbiljnu promenu taktike sajber napadača koji sada targetiraju cloud infrastrukture u potrazi za slabim tačkama koje omogućavaju potpunu kontrolu nad sistemom.
Ova promena donosi znatno veću pretnju od klasičnih napada. Umesto da se fokusiraju na pojedinačne korisnike, kriminalci ciljaju celokupne organizacije. Koriste bezbednosne propuste i loše postavke kako bi pristupili ključnim resursima, a posledice su prekid rada, gubitak podataka i dugoročna reputaciona šteta.
Ulaz kroz privilegovane naloge
Napadači najčešće započinju napad tražeći administrativne naloge bez dodatne zaštite. U konkretnom slučaju koji je otkrio Microsoft, grupa Storm 0501 uspela je da pronađe sistem bez aktivirane višefaktorske autentikacije. Resetovali su lozinku, dodali sopstvenu metodu potvrde identiteta i tako stekli potpunu kontrolu nad cloud okruženjem.
Nakon što su dobili pristup, mogli su da se prijave kao bilo koji korisnik i neometano istražuju mrežu. To im je omogućilo da analiziraju interne procese, mapiraju infrastrukturu i pripreme teren za iznudu. Kada napadač poseduje administratorske privilegije, celokupan bezbednosni sistem postaje ranjiv iznutra.
Kontinuitet pretnje kroz godine
Storm 0501 je poznata grupa koja deluje još od 2021. godine. Tada su bili aktivni koristeći ransomver Sabbath, ciljajući obrazovne ustanove u Sjedinjenim Američkim Državama. Njihovi napadi su se razvijali i usavršavali, ali osnovna strategija iznude ostala je ista.
Tokom 2024. grupa se fokusirala na zdravstvene organizacije koristeći novi ransomver alat pod nazivom Embargo. Ove institucije su posebno ranjive jer rade pod konstantnim pritiskom i imaju ograničene resurse za reagovanje na napade. Napadači računaju na to da će hitnost situacije naterati žrtve da što pre plate otkup.
Komunikacija iznutra
Nakon što su kompromitovali cloud infrastrukturu, napadači su odmah prešli na izvlačenje podataka i brisanje rezervnih kopija kako bi onemogućili oporavak. Cilj im je bio da žrtva izgubi sve opcije osim jedne, a to je plaćanje otkupnine. Korišćenjem cloud alata pokušali su i dodatno da šifruju fajlove unutar sistema.
Najzanimljiviji deo ovog napada bio je način na koji su kontaktirali žrtvu. Iskoristili su Microsoft Teams nalog koji su prethodno kompromitovali i na taj način komunicirali kao da su deo organizacije. Iako nisu uspeli da u potpunosti zaključe sistem, šteta je već bila velika jer je kompanija ostala bez kontrole nad ključnim resursima.
Odbrana počinje pre napada
S obzirom na novu taktiku ransomver grupa, jasno je da se odbrana više ne može zasnivati samo na osnovnim merama. Višefaktorska autentikacija mora biti aktivirana na svim nalozima, posebno onima koji imaju administratorske privilegije. Bez toga, organizacija ostaje izložena ozbiljnom riziku.
Takođe je neophodno da se konstantno prati korisnička aktivnost i pristup resursima. Bezbednosne postavke cloud sistema moraju se redovno proveravati, a rezervne kopije čuvati van glavne infrastrukture. Samo ovakvim pristupom moguće je izgraditi otpornost i preživeti moderni sajber napad.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.