Ненадлежащее соблюдение правил кибербезопасности, связанное с уязвимыми файлами переменных среды, долговечными учетными данными и отсутствием архитектуры минимальных привилегий, привело к тому, что многие организации стали жертвами вымогательских атак, предупреждают эксперты.
Исследователи кибербезопасности из Unit 42 в своем отчете описали, как они наблюдали успешную кампанию шантажа в облаке, которая использовала открытые файлы переменных среды (.ENV), содержащие конфиденциальные данные, такие как учетные данные для входа.
Неизвестные злоумышленники разместили свою инфраструктуру атаки в окружениях Amazon Web Services (AWS), принадлежащих целевым организациям, и использовали это для сканирования более 230 миллионов уникальных целей на наличие чувствительной информации. Как объясняют в Unit 42, кампания нацелилась на 110 000 доменов, что привело к раскрытию более 90 000 уникальных переменных в файлах .ENV.
Отсутствие шифрования
Из этих переменных 7 000 принадлежали облачным сервисам организаций. Это не обязательно означает, что было скомпрометировано 7 000 организаций, так как одно предприятие может владеть несколькими переменными. Однако злоумышленники похитили как минимум 1 500 переменных, относящихся к учетным записям в социальных сетях, что, возможно, указывает на число жертв. Более того, для облегчения операции злоумышленники использовали несколько исходных сетей.
Хотя злоумышленники и похитили конфиденциальные данные и требовали выкуп за их возвращение, они не шифровали ИT-инфраструктуру своих целей. Это еще один пример того, как злоумышленники переключаются с шифрования на простые вымогательские атаки с использованием данных. Некоторые исследователи полагают, что создание, поддержка и развертывание шифраторов слишком дорогостоящи и трудоемки. Простое удержание данных в заложниках, как оказалось, столь же эффективно:
«В ходе кампании злоумышленникам удалось вымогать данные, размещенные в облачных хранилищах,» отметили в Unit 42. «Событие не включало шифрование данных перед вымогательством, вместо этого злоумышленники эксфильтрировали данные и поместили записку с выкупом в скомпрометированное облачное хранилище.»
Исследователи заключили, что злоумышленники не использовали уязвимости системы или ошибки. Все это результат человеческой ошибки и небрежности.
Источник: The Hacker News
Источник: TechRadar
