Des criminels audacieux vendent un accès direct à des comptes cloud

Paris, le 1er septembre 2021 – Lacework, la plateforme de sécurité du cloud basée sur les données publie aujourd’hui son rapport trimestriel sur les menaces liées au cloud, dévoilant les nouvelles techniques et méthodes utilisées par les cybercriminels pour tirer profit des entreprises.

Le transfert rapide des applications et des infrastructures vers le cloud crée des failles dans le dispositif de sécurité des organisations du monde entier. Les cybercriminels ont ainsi davantage de possibilités de voler des données, de tirer parti des biens d’une organisation et d’obtenir un accès non autorisé au réseau.

« Les entreprises ont tout intérêt à commencer à considérer les cybercriminels comme des concurrents », déclare James Condon, Directeur de la Recherche chez Lacework. « Rien que l’année dernière, les attaques de cybercriminalité et de ransomware ont coûté 4 milliards de dollars de dommages aux entreprises. Alors que de plus en plus d’entreprises se tournent vers les environnements cloud, nous constatons une augmentation de la demande pour les accès volés de comptes cloud et une évolution des techniques des cybercriminels, ce qui rend les entreprises encore plus vulnérables aux menaces du cloud. »

Une nouvelle recherche de Lacework Labs, l’équipe de recherche dédiée de Lacework qui se concentre sur les nouvelles menaces et les risques de surface d’attaque au sein du cloud public, apporte un éclairage sur les logiciels criminels et les ransomwares en constante augmentation dans le cadre de nouveaux modèles de menaces et de défis émergents en matière de cybersécurité. Basées sur des données anonymisées issues de la plateforme Lacework de Mai 2021 à Juillet 2021, les principales conclusions du rapport comprennent :

Les Initial Access Brokers (IAB) s’étendent aux comptes cloud

 ? Alors que l’infrastructure des entreprises continue de s’étendre vers le cloud, il en va de même pour les adversaires opportunistes qui cherchent à tirer parti de cette opportunité. L’accès illicite à l’infrastructure cloud d’entreprises disposant de données/ressources précieuses ou l’accès à grande échelle à d’autres organisations offrent aux attaquants un incroyable retour sur investissement. Lacework Labs a notamment constaté que les comptes administratifs Amazon AWS, Google Cloud et Azure gagnent en popularité sur les places de marché clandestines.

Les campagnes des acteurs malveillants continuent d’évoluer : Lacework Labs a observé une variété d’activités malveillantes provenant de groupes d’adversaires et de familles de logiciels malveillants connus. Cette section met en avant ceux qui continuent à faire évoluer leurs opérateurs, estimant qu’il s’agit d’un précieux retour sur investissement :

Botnet 8220 Gang et mineur personnalisé : Lacework Labs a récemment découvert un nouveau cluster d’activité lié à une campagne du groupe d’adversaires 8220 Gang consistant à infecter des hôtes, principalement par le biais de services cloud communs, avec un mineur personnalisé et un bot IRC pour d’autres attaques et un contrôle à distance. Ce cluster montre que les opérations évoluent à de nombreux niveaux, y compris les efforts visant à dissimuler l’ampleur du botnet et les profits du minage, ce qui indique que les attaques prennent de l’ampleur.

Compromission de l’image Docker de TeamTNT : l’équipe de Lacework Labs a découvert que l’auteur malveillant TeamTNT dérobait des images Docker légitimes dans une attaque de type chaîne d’approvisionnement. Les réseaux exécutant l’image de confiance ont été infectés sans le savoir.

– Les équipes de développeurs doivent être certaines de savoir ce que contient l’image qu’elles récupèrent. Elles doivent valider la source ou elles pourraient ouvrir une brèche dans leur environnement.

– Principaux logiciels et acteurs criminels du cloud :

– Cpuminer, le mineur multi-algorithme open-source, est utilisé de manière légitime depuis des années. Cependant, Lacework Labs a observé une augmentation de son utilisation illicite pour le cryptojacking des altcoins.

– Monero et XMRig sont les comptes les plus courants pour le cryptojacking visant les ressources du cloud, d’où une activité impliquant des coins et des outils moins connus peut avoir plus de chances de passer inaperçue.

– Surveillance des services cloud :

– Lacework Labs capture une gamme de télémétrie à la fois dans les déploiements de produits et les honeypots personnalisés, ce qui permet à l’entreprise de voir les tendances pertinentes pour la défense du cloud. Pour ces sources, de nombreuses applications pertinentes pour le cloud sont continuellement visées, mais Lacework a constaté que AWS S3, SSH, Docker, SQL et Redis étaient de loin les plus ciblés.

Sur la base des conclusions de ce rapport, Lacework Labs recommande aux défenseurs de :

– S’assurer que les sockets Docker ne sont pas exposés publiquement et que des règles de pare-feu/groupes de sécurité appropriés et d’autres contrôles réseau sont en place. Cela permettra d’empêcher tout accès non autorisé aux services réseau exécutés dans une organisation.
– S’assurer que les politiques d’accès définies via la console sur les buckets S3 ne sont pas remplacées par un outil d’automatisation. Un audit fréquent des politiques S3 et une automatisation autour de la création de buckets S3 peuvent garantir que les données restent privées.

Les nouvelles conclusions de la recherche font partie du deuxième volume du Cloud Threat Report de Lacework, un rapport trimestriel qui détaille les nouveaux incidents de logiciels criminels, les vulnérabilités et les opportunités pour les attaquants.