C'è una crescente domanda per i servizi di Initial Access Broker (IAB) e credenziali di accesso negli attacchi informatici basati su cloud.
Martedì, Lacework ha pubblicato il suo 2021 Cloud Threat Report vol.2, delineando come i criminali informatici di oggi stanno tentando di eliminare parte del lavoro di routine coinvolto nelle campagne contro i fornitori di servizi cloud.
Nel corso di quest'anno, il team dell'azienda di sicurezza cloud ha osservato una serie di tendenze degne di nota nello spazio cloud, tra cui l'aumento della domanda di IAB.
I broker di accesso iniziale, come documentato da KELA, sono individui o gruppi che sono riusciti a proteggere l'accesso a un sistema di destinazione. L'accesso potrebbe essere stato ottenuto tramite credenziali deboli, danneggiate o rubate; un insider, o tramite una vulnerabilità.
Il prezzo medio dell'accesso alla rete, analizzato dal team, è attualmente di $ 5.400, mentre il prezzo medio è di $ 1.000, a seconda del livello di accesso ottenuto e dell'organizzazione di destinazione.
I gruppi ransomware si sono interessati agli IAB e, accanto a questi gruppi, anche altri attori delle minacce focalizzati sullo sfruttamento dei servizi cloud stanno tentando di reclutare gli IAB per i propri fini.
Lacework afferma che negli ultimi mesi le credenziali di amministratore ottenute dagli IAB sembrano essere diventate una risorsa popolare per gli aggressori. Inoltre, la scansione e l'analisi di bucket di archiviazione, database online, piattaforme di accesso e sistemi di orchestrazione continuano ad aumentare.
“Ciò che è iniziato come post sul mercato una tantum continua ad aumentare man mano che i criminali iniziano a comprendere e rendere operativa l'utilità dell'accesso ai servizi cloud al di là del mining di criptovalute”, afferma il team.
Il rapporto esplora anche le ultime attività criminali di TeamTNT contro i servizi cloud. La botnet TeamTNT, individuata per la prima volta nel 2020, è nota per installare malware per il mining di criptovalute su contenitori vulnerabili.
TeamTNT è alla ricerca di API Docker esposte per distribuire immagini Docker dannose e, in numerosi casi, i repository Docker pubblici vengono rilevati tramite account compromessi per ospitare malware.
Un'altra tattica degna di nota è lo sfruttamento dei token canarini. Il team sospetta che anche il servizio legittimo canarytokens.org, utilizzato per avvisare gli utenti quando è stato effettuato l'accesso a una risorsa, sia stato abusato per notificare agli operatori ransomware l'esecuzione di malware sul sistema di una vittima.
Ulteriori punti di interesse includono i dati honeypot raccolti dall'azienda, il che suggerisce che i servizi SSH, SQL, Docker e Redis sono più comunemente presi di mira. Tor è spesso impiegato quando gli ambienti AWS sono presi di mira; lo scanner zgrab è impiegato per sondare le API Docker per i punti deboli; e quando si tratta di Redis, il comando INFO dell'interfaccia della riga di comando è più comunemente usato per raccogliere dati relativi ai sistemi di destinazione.
Copertura precedente e correlata
Sicurezza cloud nel 2021: una guida aziendale agli strumenti essenziali e alle best practice
Sicurezza cloud: “sospetti sovrumani” dietro l'aumento degli attacchi ai servizi online
Cosa è il cloud computing? Tutto quello che c'è da sapere sul cloud spiegato
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Cloud Security TV Data Management CXO Data Center 