Cibercrime reforça ataques contra a nuvem

Enquanto para as empresas a nuvem significa flexibilidade e economia, para os hackers é um ambiente repleto de dados corporativos, apps e outros ativos online com proteção ruim.

O cibercrime está de olho em uma tendência corporativa que se acelerou com a pandemia: a migração de muitos negócios para ambientes na nuvem. Enquanto para a maioria das empresas a nuvem significa flexibilidade e economia, para os hackers é um ambiente repleto de dados corporativos, apps e outros ativos online com proteção ruim ou vulnerável.

De acordo com uma pesquisa da IBM, o cibercrime aumentou muito o foco em ataques à nuvem conforme as companhias aceleraram a adoção de SaaS (software como serviço), IaaS (infraestrutura como serviço) e PaaS (plataforma como serviço) ao longo do ano passado.

Um dos sinais mais preocupantes do aumento do interesse do cibercrime, aponta a pesquisa, é o crescente mercado negro de credenciais roubadas usadas para contas corporativas e recursos em plataformas de nuvem pública. A IBM descobriu cerca de 30 mil credenciais potencialmente disponíveis para venda em fóruns da Dark Web. Mais de 70% das credenciais anunciadas ofereciam acesso Remote Desktop Protocol (RDP). Os preços variam de alguns dólares a mais de U$ 15 mil por credencial – dependendo do nível de acesso oferecido por ela.

Políticas de reembolso

As organizações costumam financiar contas na nuvem com um certo número de créditos para comprar rapidamente recursos adicionais conforme a necessidade. Por isso, os criminosos exigem mais por credenciais para contas com valores altos de reserva. Por exemplo, acesso para uma conta com U$ 5 mil em crédito tende a ter preço médio no mercado negro de U$ 250, enquanto as com com U$ 1 mil depositados custam bem menos.

“Muitos desses anúncios foram acompanhados por políticas de reembolso para influenciar o negócio”, disse Charles DeBeck, analista de inteligência contra ameaças cibernéticas da IBM X-Force, ao blog Dark Reading. “Observamos vendedores oferecendo reembolsos de 7 a 14 dias se os compradores não conseguissem acessar o ambiente de nuvem usando as contas adquiridas.”

A análise também confirmou, mais uma vez, o que outros estudos apontam sobre muitos riscos relacionados à cloud serem autoinfligidos: dois terços das violações investigadas foram devido a APIs mal configuradas. Muitas organizações usam APIs para fornecer acesso à Internet para apps e dados de back-end, mas falham em proteger como as APIs são acessadas ou “esquecem “que elas podem fornecer acesso a dados que não deveriam ser compartilhados. “Dois em cada três ambientes de nuvem violados que estudamos estavam associados a APIs configuradas incorretamente”, diz DeBeck.

A pesquisa da IBM também descobriu máquinas virtuais e outros recursos de nuvem implementados com configurações de segurança padrão ou incorretas que os deixaram vulneráveis ​​a invasões. Em outros casos, os pesquisadores viram que serviços internos, como RDP, foram deixados expostos na Internet devido a controles de segurança de rede aplicados de maneira inadequada. A equipe descobriu violações de senha e política de segurança em 100% dos ambientes do cliente.

DeBeck diz que o crescente investimento em malware para nuvem entre os invasores é particularmente interessante. “Observamos uma série de famílias de malware desenvolvendo novos recursos focados na cloud”, afirma. “Isso indica que os agentes de ameaças percebem é para onde as coisas estão indo”.

Dicas