O ambiente de trabalho pós-pandemia trouxe mudanças significativas para o cenário de segurança de rede. As organizações começaram a confiar mais em soluções de armazenamento em nuvem, como Google Drive e Dropbox, para realizar suas operações diárias.
Os serviços de armazenamento em nuvem fornecem uma maneira simples e segura de atender às necessidades de uma força de trabalho remota. Mas não são apenas as empresas e os funcionários que estão aproveitando esses serviços. Os hackers estão encontrando maneiras de aproveitar a confiança nos serviços em nuvem e tornar seus ataques extremamente difíceis de detectar.
Como isso acontece? Vamos descobrir!
Como os hackers usam os serviços de armazenamento em nuvem para evitar a detecção?
Embora os serviços de armazenamento em nuvem criptografados sejam normalmente confiáveis pelos usuários, pode ser extremamente difícil para as empresas detectar atividades maliciosas. Em meados de julho de 2022, pesquisadores da Redes de Palo Alto descobriu atividades maliciosas aproveitando serviços de nuvem por um grupo chamado Cloaked Ursa, também conhecido como APT29 e Cozy Bear.
Acredita-se que o grupo tenha conexões com o governo russo e seja responsável por ataques cibernéticos contra o Comitê Nacional Democrata dos EUA (DNC) e o 2020 Hack da cadeia de suprimentos SolarWinds. Também está envolvido em várias campanhas de espionagem cibernética contra funcionários do governo e embaixadas em todo o mundo.
Sua próxima campanha envolve o uso de soluções legítimas de armazenamento em nuvem, como Google Drive e Dropbox, para proteger suas atividades. Aqui está como o grupo conduz esses ataques.
O Modus Operandi do Ataque
O ataque começa com e-mails de phishing enviados para alvos de alto perfil nas embaixadas europeias. Ele se disfarça de convite para reuniões com embaixadores e vem com uma suposta agenda em um anexo em PDF malicioso.
O anexo contém um arquivo HTML malicioso (EnvyScout) hospedado no Dropbox que facilitaria a entrega de outros arquivos maliciosos, incluindo uma carga útil Cobalt Strike para o dispositivo do usuário.
Os pesquisadores especulam que o destinatário não conseguiu acessar inicialmente o arquivo no Dropbox, provavelmente devido a políticas governamentais restritivas sobre aplicativos de terceiros. No entanto, os atacantes foram rápidos em enviar um segundo e-mail de spear phishing com um link para o arquivo HTML malicioso.
Em vez de usar o Dropbox, os hackers agora contam com os serviços de armazenamento do Google Drive para ocultar suas ações e entregar cargas úteis ao ambiente de destino. Desta vez, o ataque não foi bloqueado.
Por que a ameaça não foi bloqueada?
Parece que, como muitos locais de trabalho agora contam com aplicativos do Google, incluindo o Drive, para realizar suas operações cotidianas, o bloqueio desses serviços é geralmente visto como ineficiente para produtividade.
A natureza onipresente dos serviços em nuvem e a confiança dos clientes neles tornam essa nova ameaça extremamente desafiadora ou mesmo impossível de detectar.
Qual é o objetivo do ataque?
Como muitos ataques cibernéticos, parece que a intenção era usar malware e criar um backdoor em uma rede infectada para roubar dados confidenciais.
A Unidade 42 da Palo Alto Network alertou o Google Drive e o Dropbox sobre o abuso de seus serviços. É relatado que a ação apropriada foi tomada contra contas envolvidas na atividade maliciosa.
Como se proteger contra ataques cibernéticos na nuvem
Como a maioria das ferramentas antimalware e de detecção se concentra mais em arquivos baixados em vez de arquivos na nuvem, os hackers agora estão recorrendo a serviços de armazenamento em nuvem para evitar a detecção. Embora essas tentativas de phishing não sejam fáceis de detectar, existem etapas que você pode seguir para mitigar os riscos.
- Habilite a autenticação multifator para suas contas: Mesmo que as credenciais do usuário sejam obtidas dessa maneira, o hacker ainda exigirá acesso ao dispositivo que também executa a validação multifator.
- Aplicar o Privilégio do Mínimo Princípio: Uma conta de usuário ou dispositivo precisa apenas do acesso necessário para um caso específico.
- Revogue o acesso excessivo a informações confidenciais: Depois que um usuário recebe acesso a um aplicativo, lembre-se de revogar esses privilégios quando o acesso não for mais necessário.
Qual é a chave para levar?
Os serviços de armazenamento em nuvem têm sido um grande divisor de águas para as organizações otimizarem recursos, agilizarem operações, economizarem tempo e eliminarem algumas responsabilidades de segurança.
Mas, como fica claro em ataques como esses, os hackers começaram a aproveitar a infraestrutura em nuvem para criar ataques mais difíceis de detectar. O arquivo malicioso pode ter sido hospedado no Microsoft OneDrive, Amazon AWS ou qualquer outro serviço de armazenamento em nuvem.
Compreender esse novo vetor de ameaças é importante, mas a parte difícil é implementar controles para detectá-lo e respondê-lo. E parece que mesmo os jogadores dominantes em tecnologia estão lutando com isso.
