Sårbarheter i sky utnyttes av trusselaktører

Ifølge den nylig publiserte Google Cloud Threat Horizons-rapporten for tredje kvartal 2023, ble flertallet av innbrudd mot skytjenester gjennomført ved utnyttelse av brukerkontoer. Hele 54,3% av innbruddene skyldtes svake eller manglende passord, og en stor andel av disse angrepene involverte bruteforcing av standardkontoer, Secure Shell (SSH) og Remote Desktop Protocol (RDP). 15,2% av angrepene resulterte i tilgang på grunn av feilkonfigurasjoner, og samme prosentandel av angrepene skyldtes eksponering av sensitive brukergrensesnitt eller API. I 10,9% av angrepene ble innledende kompromittering oppnådd ved å utnytte sårbar programvare.

Google Clouds forsknings- og analysegruppe har identifisert kontinuerlig aktivitet rettet mot SaaS-systemer (sofware as a service). Organisasjoner bruker i økende grad SaaS-applikasjoner, noe som øker angrepsflaten betydelig. Ifølge Thales Cloud Security-rapport for 2023, økte gjennomsnittlig antall SaaS-applikasjoner brukt av organisasjoner med 41% mellom 2021 og 2023. 55% av de spurte sikkerhetssjefene sier de har opplevd datainnbrudd, lekkasjer, skadelige applikasjoner, ransomware, spionasje eller interne angrep relatert til SaaS-applikasjoner de siste 2 årene. Dette indikerer at organisasjoner ikke klarer å beskytte SaaS-data tilstrekkelig og er spesielt bekymringsfullt siden SaaS-data er den minst sannsynlige typen data å bli gjenopprettet etter et ransomware-angrep.

Det er en økende trend der ondsinnede aktører misbruker offentlige skytjenester for å huse sin kommando- og kontrollinfrastruktur, i stedet for å bruke sin egen infrastruktur eller leie den fra andre aktører. Trusselaktørene drar nytte av billig, pålitelig infrastruktur som er tillitsvekkende for bedrifter og forbrukere, og de kan skjule sin aktivitet ved å blande seg inn i store mengder legitim trafikk. Trusselaktører har i lang tid misbrukt Microsoft Azure, Amazon Web Service og Dropbox.

Såkalt "typosquatting" har lenge blitt brukt av trusselaktører i kampanjene deres. Denne taktikken innebærer å registrere domener som ligner på de tilhørende legitime aktører for å fange uoppmerksomme tastaturbrukere, vanligvis ved at en enkel bokstav i domenenavnet fjernes eller byttes ut. Typosquatting blir nå brukt i angrep på skybaserte lagringsplattformer som Google Cloud Storage, Amazon S3 og Azure Blob. Et tilfeldig utvalg av ti Fortune 100-selskaper fant at 60% hadde én eller flere typosquattede skybaserte lagrings-URLer.

Google Cloud Threat Horizons-rapporten for tredje kvartal 2023 inkluderer også en gjennomgang av skytjeneste-utbredelse i helseindustrien, og identifiserer noen av de vanlige sikkerhetsproblemene. En analyse av skysikkerhetshendelser mellom 2021 og 2023 fant at skytjenester i økende grad blir målrettet i angrep mot helseorganisasjoner, og at skytjenester i økende grad blir brukt som plattform for å gjennomføre angrep.

Studiene utført av Google og Mandiant avslørte at de fleste angrep mot helsesektoren blir utført av trusselaktører med økonomisk motivasjon, som i hovedsak bruker stjålne bruker identiteter for innledende tilgang, og i mindre grad phishing, sårbarheter fra tredjeparter, tjenestenektangrep, web-utnyttelser og feilkonfigurasjon. Det vanligste målet med dette er løsepengevirus og datautpressingsangrep, der angriperne forsøker å finne og fange opp personlig helseinformasjon for utpressingsformål. Brukerkontoer blir vanligvis hentet ut ved å rette angrep mot Outlook Web Access og AWS S3 buckets.