Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Jak działają ataki ransomware na usługi chmurowe?

11 luty 2025

Jak działają ataki ransomware na usługi chmurowe?
Jemioło Damian

Jemioło Damian

Współczesne środowiska chmurowe napędzają transformację cyfrową firm, przyciągając uwagę cyberprzestępców. Atakują oni nie tylko same usługi, ale też wykorzystują je jako narzędzia do realizacji swoich celów. Choć dostawcy inwestują w zaawansowane technologie, to nawet najlepsze zabezpieczenia można przełamać albo znaleźć backdoor. Jak wyglądają ataki na usługi chmurowe? 

Ransomware – w chmurach a na lokalnych urządzeniach

Usługi chmurowe stały się podstawą działani praktycznie każdej firmy, która jakkolwiek funkcjonuje w internecie. I oczywiście odnajduje to odzwierciedlenie w działalności cyberprzestępców. Przykładowo w raporcie „Cloude Risk Report” stworzonym przez Crowdstrike wskazano, że ataki na usługi chmurowe wzrosły aż o 228% w 2022 r. względem 2021 r.

Mowa tu o danych sprzed 3 lat, a widać, jak potężnie wzrosło zainteresowanie cyberprzestępców. Nietrudno sobie wyobrazić, że trend ten będzie stale rósł. Raport „2023 Cloud Risk Report” wskazuje, że najczęstsze zagrożenia obejmują próby uzyskania nieautoryzowanego dostępu, eskalację uprawnień oraz wykorzystywanie narzędzi służących do obsługi lub administracji środowiskiem chmurowym.

Jednak w przeciwieństwie do tradycyjnych systemów lokalnych ransomware w środowiskach chmurowych działa na innych zasadach. „Zainstalowanie” ransomware na poziomie infrastruktury chmurowej jest praktycznie niemożliwe przez zabezpieczenia dostawców. Jednak cyberprzestępcy wykorzystują słabe punkty w konfiguracji, dostępach i mechanizmach uwierzytelniania, aby zaszyfrować dane użytkowników, ukraść je lub zakłócić działanie usług.

Po zablokowaniu dostępu do tych danych szantażują ofiary, żądając okupu w zamian za klucze deszyfrujące. Często przy tym stosują strategię podwójnego wymuszenia, polegającą na kradzieży danych przed ich zaszyfrowaniem, co pozwala dodatkowo grozić ich upublicznieniem w razie braku zapłaty.

Chmura a ransomware

W niektórych przypadkach ransomware atakuje także aplikacje działające w chmurze, takie jak bazy danych czy systemy do przechowywania plików. Atakujący wprowadzają złośliwy kod do aplikacji, co prowadzi do szyfrowania danych użytkowników lub zakłócenia działania systemów operacyjnych.

W środowiskach wielochmurowych oraz hybrydowych dodatkowym wyzwaniem jest lateralne przemieszczanie się przestępców między różnymi usługami, co pozwala im rozszerzać zakres ataku i powodować jeszcze większe szkody.

Warto podkreślić, że ransomware w chmurze nie działa na poziomie infrastruktury zarządzanej przez dostawców takich jak AWS, Google Cloud czy Azure. Model odpowiedzialności za bezpieczeństwo wyklucza bezpośrednie ataki na warstwy systemowe zarządzane przez tych dostawców.

To właśnie dane, konfiguracje i dostęp użytkowników stają się głównym celem cyberprzestępców, a ich ochrona zależy w dużej mierze od działań podejmowanych przez organizacje korzystające z chmury.

Rozprzestrzenianie ransomware w środowisku chmurowym

Po uzyskaniu dostępu atakujący eskalują swoje uprawnienia, co pozwala im przejąć kontrolę nad większą częścią infrastruktury. W środowiskach hybrydowych i wielochmurowych lateralne przemieszczanie się cyberprzestępców jest szczególnie niebezpieczne, ponieważ umożliwia im dotarcie do głównych zasobów. Popularne metody obejmują ataki na kontenery Docker i maszyny wirtualne, które często są źle zabezpieczone.

Ransomware na chmurze charakteryzuje się również skutecznym szyfrowaniem danych w systemach rozproszonych. Backupy, które teoretycznie mają chronić przed utratą danych, są często jednym z pierwszych celów atakujących. Wyłączenie lub zaszyfrowanie kopii zapasowych znacząco utrudnia proces odzyskiwania danych.

Skutki ataków ransomware na usługi chmurowe

Zablokowanie dostępu do kluczowych danych i systemów operacyjnych jest najbardziej oczywistym efektem ataku. W środowisku chmurowym, gdzie aplikacje są zależne od ciągłości działania infrastruktury, każdy przestój może prowadzić do ogromnych strat operacyjnych.

Przestępcy często atakują aplikacje webowe hostowane w chmurze. Skrypt Pandora, wykorzystujący szyfrowanie AES, jest jednym z przykładów narzędzi zaprojektowanych specjalnie do ataków na serwery PHP, Android oraz Linux.

Koszty związane z okupem, utratą danych oraz przerwami w działalności operacyjnej mogą sięgać milionów dolarów. W 2024 r. odnotowano przypadki, gdzie ofiary zapłaciły okup rzędu 10 milionów dolarów, by odzyskać dostęp do swoich danych.

Utrata reputacji to kolejny poważny problem. Wycieki danych mogą prowadzić do utraty zaufania klientów, co bezpośrednio przekłada się na straty finansowe. Dodatkowo firmy narażają się na kary wynikające z nieprzestrzegania regulacji, takich jak RODO.

Po ataku ransomware organizacje często muszą zrewidować swoje podejście do zarządzania infrastrukturą IT. Zwiększone inwestycje w zabezpieczenia oraz rygorystyczne audyty dostawców chmurowych stają się normą.

Noberus – przykład ataku z wykorzystaniem chmury

W 2023 roku Noberus, znany również jako DarkCat, przypisany grupie BlackCat, przeprowadził zaawansowane ataki ransomware skierowane na międzynarodowe korporacje o wysokich dochodach.

Charakterystyczne dla tego incydentu cyberbezpieczeństwa było wykorzystanie usług przechowywania w chmurze do eksfiltracji danych. Cyberprzestępcy, wykorzystując złożone techniki unikania wykrycia, skoncentrowali swoje działania na dużych firmach, aby zmaksymalizować zyski finansowe oraz szkody wyrządzone organizacjom.

Metody stosowane przez Noberus obejmowały:

  • Eksfiltrację danych do usług chmurowych, co utrudniło wykrycie nieautoryzowanego transferu danych.
  • Szyfrowanie kluczowych danych na serwerach ofiar, co sparaliżowało operacje biznesowe na dużą skalę.
  • Wprowadzenie technik zaawansowanego unikania wykrycia, które pozwoliły atakującym pozostać niewykrytymi przez systemy bezpieczeństwa przez długi czas.

Atak Noberus miał poważne konsekwencje dla międzynarodowych korporacji. Eksfiltracja danych za pomocą usług chmurowych wprowadziła dodatkowe wyzwania dla zespołów ds. cyberbezpieczeństwa. Firmy zmagały się z ogromnymi stratami finansowymi wynikającymi zarówno z okupu, jak i przestojów operacyjnych.

Incydent ten podkreślił konieczność aktualizacji strategii obronnych, szczególnie w kontekście ochrony środowisk chmurowych. Użycie zaawansowanego oprogramowania ransomware zmusiło organizacje do wdrażania bardziej dynamicznych i adaptacyjnych systemów wykrywania zagrożeń.

To jednak nie koniec, bo w ostatnich latach grupa BlackCat/ALPHV z powodzeniem przeprowadzała ataki ransomware, wykorzystując usługi chmurowe, takie jak Microsoft Azure. W jednym z incydentów użyto nowego wariantu szyfratora Sphinx, aby zaszyfrować dane przechowywane na kontach magazynu Azure. Cyberprzestępcy zdobyli klucze dostępu do konta magazynu za pomocą metod takich jak phishing czy wykorzystanie słabych haseł, co pozwoliło im na pełny dostęp do zasobów ofiary.

Po uzyskaniu dostępu atakujący zaszyfrowali dane przechowywane w chmurze, uniemożliwiając użytkownikom korzystanie z krytycznych informacji. Następnie zażądali okupu, grożąc trwałą utratą danych lub ich publicznym ujawnieniem w przypadku odmowy płatności. Incydent ten podkreślił znaczenie ochrony danych w chmurze oraz zabezpieczania kluczy dostępowych, które mogą stanowić lukę w zabezpieczeniach organizacji.

Przyszłość ataków ransomware na usługi chmurowe

Ewolucja ransomware w kontekście środowisk chmurowych wskazuje na rosnące wykorzystanie AI i uczenia maszynowego przez przestępców. Prawdopodobnie liczba ataków na chmurę (czy z jej wykorzystaniem) będzie rosnąć, a ich skuteczność będzie się zwiększać dzięki automatyzacji i coraz bardziej zaawansowanym technikom.

Międzynarodowa współpraca oraz inwestycje w nowe technologie obronne będą kluczowe w ograniczaniu zagrożeń. Firmy muszą być przygotowane na dynamicznie zmieniający się krajobraz zagrożeń i stale dostosowywać swoje strategie.

Cyberataki na usługi chmurowe stale rosną i stają się poważnym zagrożeniem w kontekście cyberbezpieczeństwa. Ich złożoność i potencjalne skutki wymagają kompleksowego podejścia do ochrony infrastruktury.

Świadomość nowych technik atakujących oraz ciągłe doskonalenie procedur bezpieczeństwa są kluczowe, aby przeciwdziałać tym zagrożeniom i minimalizować potencjalne straty. Trzeba pamiętać, że te najważniejsze dane powinny mieć też kopie lokalne, w razie wystąpienia incydentu cyberbezpieczeństwa.

Oceń artykuł

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności