SANS 研究所警告新型云原生勒索软件攻击

近期，Palo Alto Networks 旗下 Unit 42 发布的《云威胁报告》指出，66% 的云存储桶中包含敏感数据，而这些数据极易成为勒索软件攻击的目标。SANS 研究所最新报告进一步揭示，攻击者可以通过滥用云服务提供商的存储安全控制和默认设置来实施此类攻击。

安全顾问兼 SANS 认证讲师 Brandon Evans 警告称：“仅在过去几个月，我就目睹了两种利用合法云安全功能执行勒索软件攻击的方法。”例如，安全公司 Halcyon 披露了一场利用亚马逊 S3 的原生加密机制 SSE-C 对目标存储桶进行加密的攻击活动。几个月前，安全顾问 Chris Farris 也展示了攻击者如何利用另一种 AWS 安全功能（带有外部密钥材料的 KMS 密钥）和 ChatGPT 生成的简单脚本实施类似攻击。Brandon 指出：“显然，这一话题已成为威胁行为者和研究人员关注的焦点。”

应对云原生勒索软件的建议

为应对云勒索软件攻击，SANS 建议组织采取以下措施：

1. 了解云安全控制的优势和局限性
   使用云服务并不自动意味着数据安全。Brandon 解释道：“大多数人最先使用的云服务是文件备份解决方案，如 OneDrive、Dropbox 和 iCloud 等。虽然这些服务通常默认启用了文件恢复功能，但 Amazon S3、Azure Storage 和 Google Cloud Storage 并非如此。安全专业人员必须深入了解这些服务的运作机制，而不是默认认为云服务会保障数据安全。”
2. 禁用不受支持的云加密方法
   例如，AWS S3 的 SSE-C 和 AWS KMS 外部密钥材料等加密技术可能被滥用，因为攻击者可以完全控制密钥。组织可以通过身份和访问管理（IAM）策略强制规定 S3 使用的加密方法，例如使用 AWS 托管的 SSE-KMS。
3. 启用备份、对象版本控制和对象锁定
   这些是云存储的完整性和可用性控制措施，但三大云服务提供商均不会默认启用这些功能。如果正确使用，这些功能可以提高组织在遭受勒索软件攻击后恢复数据的能力。
4. 通过数据生命周期策略平衡安全与成本
   Brandon 指出：“云提供商不会免费托管您的数据版本或备份，同时您的组织也不会为数据安全提供空白支票。”三大云服务提供商都允许客户定义数据生命周期策略，这些策略可以自动删除不再需要的对象、版本和备份。然而，需警惕的是，攻击者也可能利用生命周期策略，例如在之前的攻击活动中，攻击者利用该策略迫使受害者尽快支付赎金。

来源：https://thehackernews.com/2025/03/sans-institute-warns-of-novel-cloud.html