Il malware del cloud aggiunge un’altra categoria ai worm, ai virus, agli spyware e agli altri software maligni che il settore combatte ogni giorno. Il fenomeno non è nuovo: è in crescita da oltre un decennio. Il trojan bancario SpyEye, ad esempio, è stato ospitato nei bucket di Amazon Simple Storage Service già nel 2011. Il provider di sicurezza cloud Netskope ha riferito che il 68% di tutti i download di malware ha avuto origine in applicazioni cloud.Diamo un’occhiata ai tipi di malware del cloud e a come difendersi da essi. Qualsiasi discussione sulle minacce informatiche in-the-cloud deve concentrarsi su due categorie specifiche:
- le minacce informatiche che utilizzano il cloud per la consegna e le comunicazioni (comando e controllo) e le minacce informatiche che mirano esplicitamente alle risorse del cloud.
- le minacce informatiche che mirano esplicitamente alle risorse e agli asset del cloud.
Le moderne minacce informatiche si affermano attraverso i servizi cloud in vari modi. In primo luogo, molti tipi di malware sono ospitati in ambienti di archiviazione cloud, sia in servizi dedicati, come Dropbox o Box, sia in nodi di archiviazione all’interno di cloud IaaS o PaaS. Questi account o nodi di archiviazione esposti pubblicamente sono spesso all’interno di ambienti noti di provider di servizi cloud (CSP) per ridurre al minimo le possibilità che il software di filtraggio dei contenuti blocchi il dominio di hosting. Il ransomware, in particolare, è spesso citato come una minaccia ospitata nel cloud.In secondo luogo, molte varianti di malware ospitano la loro infrastruttura di comando e controllo nel cloud, poiché la maggior parte delle organizzazioni non blocca esplicitamente il traffico verso AWS, Azure, Google Cloud Platform e altri grandi CSP. In terzo luogo, alcuni tipi di malware possono essere utilizzati in campagne DDoS, in cui i sistemi ospitati nel cloud sotto il controllo dell’aggressore vengono utilizzati per inviare grandi quantità di traffico alle vittime. Questi attacchi possono anche essere il risultato di sistemi compromessi negli account dei tenant del cloud. Allo stesso tempo, nuove varianti di malware prendono di mira i servizi e i carichi di lavoro del cloud. Tra i più noti vi sono i minatori di criptovalute che prendono di mira le macchine virtuali e i carichi di lavoro dei container basati sul cloud. Questi tipi di malware eseguono una scansione delle API esposte per determinare se una di esse può essere sfruttata per consentire l’installazione e l’esecuzione sui carichi di lavoro. Una volta ottenuto questo risultato, gli aggressori estraggono criptovalute per trarne profitto. Trend Micro ha riferito che una serie di gruppi di aggressori coordinati compromettono le risorse e i servizi cloud esposti e poi estraggono criptovaluta utilizzando tecniche come il brute-forcing SSH, lo sfruttamento remoto di servizi vulnerabili e l’emissione di comandi tramite API esposte. Altre minacce informatiche incentrate sul cloud includono l’incorporazione di file dannosi in modelli di macchine virtuali per una propagazione e una persistenza continue, una tecnica vista in numerose occasioni dal gruppo di aggressori del cryptomining TeamTNT. Un altro comune malware per il cloud prevede attacchi tramite plugin e moduli compromessi nei marketplace dei provider di cloud, una tecnica che può essere utilizzata per rubare dati dalle distribuzioni SaaS o incorporati negli account PaaS e IaaS. Esistono innumerevoli varianti di questi attacchi.
Come combattere il malware del cloud
Fortunatamente, le minacce informatiche del cloud possono essere individuate e prevenute. Le organizzazioni dovrebbero fare quanto segue:
- Crittografare tutti i dati archiviati nel cloud. Questo aiuta a prevenire l’esposizione o la compromissione dei dati quando il malware basato sul cloud prende di mira gli account e i carichi di lavoro.
- Richiedere un’autenticazione forte su tutti gli account utente del cloud. Le password forti e l’autenticazione a più fattori aiutano a evitare che gli account cloud siano compromessi da campagne di malware.
- Eseguire il backup dei carichi di lavoro e dei dati del cloud. Idealmente, le immagini dei carichi di lavoro e gli archivi di dati sono sottoposti a backup e replicati su un account o un abbonamento separato, se possibile. Questo aiuta a mitigare un’ampia gamma di tecniche di malware basate sul cloud.
- Implementare l’isolamento e la segmentazione della rete e delle identità. Sono disponibili diverse tattiche di segmentazione orientate al cloud; le organizzazioni dovrebbero ridurre il più possibile la superficie attaccabile all’interno di un account specifico o di una sottorete di rete.
- Implementare strumenti e servizi di monitoraggio comportamentale della rete. Tutti i principali cloud IaaS offrono ai locatari dati sui flussi di rete. Queste informazioni possono essere aggregate e analizzate per individuare indicatori di movimento laterale e traffico di comando e controllo.
- Utilizzare gli strumenti e le tecnologie di rilevamento dei provider cloud. Oltre alla registrazione degli eventi e all’invio dei dati a una piattaforma di analisi centrale, alcuni CSP offrono una tecnologia di rilevamento delle minacce informatiche che può rivelare indicatori di infezione o comportamento delle minacce informatiche. Ad esempio, Microsoft offre funzionalità di rilevamento delle minacce informatiche in alcuni dei suoi servizi Microsoft 365.
- Sebbene le minacce informatiche in-the-cloud siano probabilmente destinate a rimanere nel prossimo futuro, c’è una buona notizia: Stiamo migliorando sempre di più nella lotta contro di esse.
