勒索軟件組織和其他網(wǎng)絡(luò)犯罪分子正越來越多地將目標(biāo)對準(zhǔn)基于云的備份系統(tǒng)，對久已確立的災(zāi)難恢復(fù)方法構(gòu)成了挑戰(zhàn)。

谷歌安全研究人員在一份關(guān)于云安全威脅演變的報告中警告稱，隨著攻擊者不斷改進(jìn)數(shù)據(jù)竊取、身份泄露和供應(yīng)鏈攻擊技術(shù)，針對云備份的攻擊正日益普遍。

谷歌最新發(fā)布的《2025年上半年云威脅態(tài)勢報告》還發(fā)現(xiàn)，憑據(jù)泄露和配置錯誤仍是威脅行為者入侵云環(huán)境的主要入口。

該報告由谷歌云多個情報、安全和產(chǎn)品團隊共同編寫，不僅涵蓋了谷歌云面臨的威脅，還涉及了多家云服務(wù)提供商及其客戶所面臨的威脅。

獨立安全專家證實了谷歌的發(fā)現(xiàn)，即勒索軟件組織正越來越多地將目標(biāo)對準(zhǔn)云中的備份基礎(chǔ)設(shè)施。

“攻擊不再局限于終端設(shè)備，它們會追蹤數(shù)據(jù)，包括快照、S3存儲桶和云對象存儲，”云SAP系統(tǒng)提供商Lemongrass公司高級副總裁兼全球首席信息安全官戴夫·曼寧(Dave Manning)表示，“正如我們在Codefinger攻擊活動中看到的那樣，像SSE-C加密這樣的原生云功能甚至被劫持，用于重新加密數(shù)據(jù)并索要贖金?！?/p>

曼寧補充道：“現(xiàn)代勒索軟件不僅僅是加密數(shù)據(jù)，它還是一種云原生勒索?！?/p>

谷歌的研究人員還在報告中指出，攻擊者會在攻擊鏈的早期階段禁用或刪除云托管備份，以獲取最大利益。

“在最近的HellCat、Akira和ALPHV/BlackCat入侵事件中，我們也觀察到了同樣的模式，即在發(fā)出勒索通知之前，攻擊者會定位并清除不可變備份副本，”數(shù)字化轉(zhuǎn)型提供商Conscia的安全部門ITGL的首席威脅情報分析師大衛(wèi)·卡薩布吉(David Kasabji)表示，“實際上，如果一個企業(yè)的備份與生產(chǎn)環(huán)境位于同一控制平面，那么攻擊者就會認(rèn)為這些備份是可以攻擊的目標(biāo)。”

卡薩布吉補充道：“因此，隔離、版本控制和訪問控制的恢復(fù)層級變得不可或缺?！?/p>

勒索軟件組織已利用受害者自身的云工具進(jìn)行攻擊。例如，BlackCat(ALPHV)和Rhysida等臭名昭著的團伙就積極利用對Azure Blob存儲、亞馬遜S3傳輸加速以及Azure存儲資源管理器等備份服務(wù)的訪問權(quán)限，來竊取和加密敏感文件。

“威脅不僅限于加密——正如在Codefinger的攻擊中所見，攻擊者還會修改生命周期策略，在幾天內(nèi)自動刪除文件，從而制造一種人為的緊迫感，”SentinelOne云安全總監(jiān)卡梅倫·賽普斯(Cameron Sipes)表示，“這些策略繞過了傳統(tǒng)的終端安全防護，利用了云資源的彈性，造成了快速且難以逆轉(zhuǎn)的影響?！?/p>

賽普斯補充道：“在另一場據(jù)信由LockBit模仿者發(fā)起的攻擊活動中，勒索軟件通過亞馬遜S3傳輸加速進(jìn)行傳播，再次濫用了原生云基礎(chǔ)設(shè)施，在加密之前竊取了數(shù)據(jù)?！?/p>

更為老練的威脅組織已經(jīng)將社交攻擊技巧發(fā)展到能夠可靠地誘騙目標(biāo)幫助他們繞過多因素身份驗證(MFA)控制，進(jìn)而洗劫被入侵的云托管環(huán)境。

例如，谷歌的研究人員警告稱，威脅行為者正在使用被竊取的OAuth令牌來繞過MFA，并通過自動化CI/CD管道將惡意代碼注入開發(fā)者生態(tài)系統(tǒng)。

作為應(yīng)對這一攻擊向量的措施，谷歌推出了Verified CRX Upload控制功能，以保護這些基于云的構(gòu)建過程中使用的非人類身份。

Tenable公司歐洲、中東和非洲地區(qū)技術(shù)總監(jiān)兼安全策略師伯納德·蒙泰爾(Bernard Montel)告訴記者，憑據(jù)泄露和配置錯誤仍然是“云安全的致命弱點”，這與谷歌云研究人員的關(guān)鍵發(fā)現(xiàn)不謀而合。

根據(jù)Tenable的研究，云環(huán)境中經(jīng)常出現(xiàn)機密信息和憑據(jù)處理不當(dāng)?shù)那闆r。

超過一半(54%)使用AWS ECS任務(wù)定義的企業(yè)和52%使用GCP CloudRun的企業(yè)在配置中嵌入了機密信息，約3.5%的AWS EC2實例在用戶數(shù)據(jù)中包含機密信息。

“這些機密信息，通常以API密鑰或令牌的形式存在，是攻擊者的主要目標(biāo)，可能導(dǎo)致整個環(huán)境被完全攻陷?！泵商柦忉尩馈?/p>

這種威脅不僅限于勒索軟件。例如，Kinsing惡意軟件活動就通過利用配置錯誤的容器和服務(wù)器來部署加密貨幣挖礦程序，從而針對基于Linux的云基礎(chǔ)設(shè)施。

在某些情況下，攻擊者會將惡意軟件隱藏在文件系統(tǒng)中難以察覺的位置，如手冊頁目錄，以逃避檢測。

“這些憑據(jù)一旦泄露，就可能使攻擊者實現(xiàn)橫向移動和權(quán)限提升，繞過傳統(tǒng)的邊界防御，并暴露敏感數(shù)據(jù)。”蒙泰爾補充道。

據(jù)ITGL的卡薩布吉稱，朝鮮的UNC4899團伙提供了一個利用此類策略進(jìn)行網(wǎng)絡(luò)犯罪的典型案例。“攻擊者通過LinkedIn或Telegram誘騙工程師運行惡意容器，然后竊取長期有效的云令牌，完全繞過MFA。”卡薩布吉說。

應(yīng)對措施

身份管理和配置管理仍然是云防御者的第一道防線。

谷歌云的報告倡導(dǎo)實施強大的身份和訪問管理以及主動的漏洞管理，同時強調(diào)“強大的恢復(fù)機制”、檢查“供應(yīng)鏈完整性”以及“持續(xù)警惕復(fù)雜的社會工程學(xué)攻擊”。

Tenable的蒙泰爾建議：“為了應(yīng)對這些威脅，企業(yè)必須采取分層防御策略：實施最小權(quán)限原則、使用多因素身份驗證和即時訪問來保護身份，并持續(xù)監(jiān)控配置錯誤和公開暴露情況。”