Тъй като организациите все повече внедряват облачни технологии, киберпрестъпниците адаптират тактиките си към тези среди, но основният им метод остава същият: използване на идентификационни данни.
Възприемането на облачни технологии продължава да расте, като се очаква пазарът да достигне 600 млрд. долара през 2024 г. Това все повече привлича киберпрестъпниците. Докладът на IBM за цената на едно нарушение на сигурността на данните установи, че 40% от всички нарушения включват данни, разпределени в множество среди.
IBM X-Force, в партньорство с Cybersixgill и Red Hat Insights, анализира методите, чрез които киберпрестъпниците са се насочили към този пазар в периода от юни 2023 г. до юни 2024 г. Това са идентификационните данни; но се усложнява от нарастващото използване на MFA от защитниците.
Средната цена на компрометираните удостоверения за достъп до облак продължава да намалява, като през последните три години е спаднала с 12,8% (от 11,74 долара през 2022 г. до 10,23 долара през 2024 г.). IBM описва това като „насищане на пазара“; но също така може да се опише и като „търсене и предлагане“; т.е. като резултат от успеха на престъпниците в кражбата на удостоверения.
Лицата, извършващи кражба на информация, са важна част от тази кражба на удостоверения. Двете водещи компании за кражба на информация през 2024 г. са Lumma и RisePro. През 2023 г. те са имали малка или нулева активност в тъмната мрежа. Обратно, най-популярният infostealer през 2023 г. е Raccoon Stealer, но чатът на Raccoon в тъмната мрежа през 2024 г. намалява от 3,1 милиона споменавания до 3,3 хиляди през 2024 г. Увеличението на първото е много близко до намалението на второто и от статистиката не става ясно дали дейността на правоприлагащите органи срещу разпространителите на Raccoon е пренасочила престъпниците към различни инфостилъри, или става въпрос за ясно изразено предпочитание.
IBM отбелязва, че BEC атаките, които в голяма степен разчитат на пълномощни, представляват 39% от ангажиментите й за реакция при инциденти през последните две години. „По-конкретно – се отбелязва в доклада, – заплахите често използват фишинг тактиката AITM, за да заобиколят MFA на потребителите“.
При този сценарий фишинг имейлът убеждава потребителя да влезе в крайната цел, но го насочва към фалшива прокси страница, имитираща портала за вход в целта. Тази прокси страница позволява на нападателя да открадне идентификационните данни за вход на потребителя в посока навън, токена за MFA от целта във посока навътре (за текущо използване) и токените за сесия за текущо използване.
В доклада се обсъжда и нарастващата тенденция престъпниците да използват облака за своите атаки срещу облака. „Анализът… разкри все по-честото използване на облачни услуги за комуникации за управление и контрол“, се отбелязва в доклада, “тъй като тези услуги се ползват с доверието на организациите и се смесват безпроблемно с обичайния корпоративен трафик.“ Dropbox, OneDrive и Google Drive са посочени поименно. APT43 (понякога известна още като Kimsuky) е използвала Dropbox и TutorialRAT; фишинг кампания на APT37 (също понякога известна още като Kimsuky) е използвала OneDrive за разпространение на RokRAT (известен още като Dogcall); а отделна кампания е използвала OneDrive за хостване и разпространение на зловредния софтуер Bumblebee.
Като се придържа към общата тема, че данните за достъп са най-слабото звено и най-голямата единична причина за пробиви, в доклада се отбелязва също, че 27 % от CVE, открити през отчетния период, включват XSS уязвимости, „които биха могли да позволят на извършителите да откраднат сесийни токени или да пренасочат потребителите към злонамерени уебстраници“.
Ако някаква форма на фишинг е крайният източник на повечето пробиви, много коментатори смятат, че ситуацията ще се влоши, тъй като престъпниците стават все по-практични и умели в използването на потенциала на големите езикови модели (gen-AI), за да помогнат за генерирането на по-добри и по-сложни примамки за социално инженерство в много по-голям мащаб, отколкото имаме днес.
X-Force коментира: „В краткосрочен план заплахата от атаки, генерирани от AI, насочени към облачни среди, остава умерено ниска“. Въпреки това тя отбелязва също, че е наблюдавала Hive0137 да използва gen-AI. На 26 юли 2024 г. изследователите на X-Force публикуваха тези констатации: „X -Force смята, че Hive0137 вероятно използва LLM, за да подпомага разработването на скриптове, както и да създава автентични и уникални фишинг имейли.“
Ако пълномощията вече представляват значителен проблем за сигурността, възниква въпросът какво да се направи? Една от препоръките на X-Force е доста очевидна: използвайте ИИ, за да се защитите от ИИ. Други препоръки са също толкова очевидни: укрепете възможностите за реагиране при инциденти; и използвайте криптиране за защита на данните в покой, при използване и при пренос.
Но само те не предотвратяват влизането на лоши участници в системата чрез идентификационните ключове към входната врата. „Изградете по-силна позиция за сигурност на идентичността“, казва X-Force. „Възползвайте се от съвременните методи за удостоверяване, като MFA, и проучете възможностите за удостоверяване без парола, като QR код или FIDO2 удостоверяване, за да укрепите защитата срещу неоторизиран достъп.“
Това няма да е лесно. „QR кодовете не се смятат за устойчиви на фишинг“, казва Крис Кариди, стратегически анализатор на киберзаплахите в IBM Security X-Force. „Ако потребителят сканира QR код в злонамерен имейл и след това продължи да въвежда идентификационни данни, всички залози са прекратени.“
Но това не е напълно безнадеждно. „Ключовете за сигурност на FIDO2 биха осигурили защита срещу кражба на сесийни бисквитки; а публичните/частните ключове отчитат домейните, свързани с комуникацията (подправен домейн би довел до провал на удостоверяването)“, продължава той. „Това е чудесна възможност за защита срещу AITM.“
Затворете входната врата колкото е възможно по-здраво и защитете вътрешността – това е дневният ред.