数据观澜物联网
快捷导航
您的位置:首页>IT资讯>>勒索软件转向云原生架构,直指备份基础设施 >

勒索软件转向云原生架构,直指备份基础设施

  发布时间:2025-12-07 19:22:48   作者:玩站小弟   我要评论
勒索软件组织和其他网络犯罪分子正越来越多地将目标对准基于云的备份系统,对久已确立的灾难恢复方法构成了挑战。谷歌安全研究人员在一份关于云安全威胁演变的报告中警告称,随着攻击者不断改进数据窃取、身份泄露和 。

勒索软件组织和其他网络犯罪分子正越来越多地将目标对准基于云的勒索备份系统,对久已确立的软件灾难恢复方法构成了挑战。

谷歌安全研究人员在一份关于云安全威胁演变的转向指备报告中警告称  ,随着攻击者不断改进数据窃取、云原身份泄露和供应链攻击技术,生架施针对云备份的构直攻击正日益普遍 。

谷歌最新发布的份基《2025年上半年云威胁态势报告》还发现 ,凭据泄露和配置错误仍是础设威胁行为者入侵云环境的主要入口 。

该报告由谷歌云多个情报、勒索安全和产品团队共同编写,高防服务器软件不仅涵盖了谷歌云面临的转向指备威胁,还涉及了多家云服务提供商及其客户所面临的云原威胁。

独立安全专家证实了谷歌的生架施发现,即勒索软件组织正越来越多地将目标对准云中的构直备份基础设施 。

“攻击不再局限于终端设备,份基它们会追踪数据,包括快照 、S3存储桶和云对象存储,”云SAP系统提供商Lemongrass公司高级副总裁兼全球首席信息安全官戴夫·曼宁(Dave Manning)表示,“正如我们在Codefinger攻击活动中看到的那样,像SSE-C加密这样的建站模板原生云功能甚至被劫持 ,用于重新加密数据并索要赎金。”

曼宁补充道 :“现代勒索软件不仅仅是加密数据,它还是一种云原生勒索 。”

谷歌的研究人员还在报告中指出  ,攻击者会在攻击链的早期阶段禁用或删除云托管备份 ,以获取最大利益。

“在最近的HellCat、Akira和ALPHV/BlackCat入侵事件中,我们也观察到了同样的模式 ,源码下载即在发出勒索通知之前 ,攻击者会定位并清除不可变备份副本 ,”数字化转型提供商Conscia的安全部门ITGL的首席威胁情报分析师大卫·卡萨布吉(David Kasabji)表示,“实际上 ,如果一个企业的备份与生产环境位于同一控制平面 ,那么攻击者就会认为这些备份是可以攻击的目标 。”

卡萨布吉补充道  :“因此,隔离、版本控制和访问控制的恢复层级变得不可或缺。”

勒索软件组织已利用受害者自身的模板下载云工具进行攻击 。例如 ,BlackCat(ALPHV)和Rhysida等臭名昭著的团伙就积极利用对Azure Blob存储 、亚马逊S3传输加速以及Azure存储资源管理器等备份服务的访问权限 ,来窃取和加密敏感文件。

“威胁不仅限于加密——正如在Codefinger的攻击中所见 ,攻击者还会修改生命周期策略,在几天内自动删除文件 ,从而制造一种人为的紧迫感,”SentinelOne云安全总监卡梅伦·赛普斯(Cameron Sipes)表示,“这些策略绕过了传统的终端安全防护,免费模板利用了云资源的弹性 ,造成了快速且难以逆转的影响。”

赛普斯补充道 :“在另一场据信由LockBit模仿者发起的攻击活动中 ,勒索软件通过亚马逊S3传输加速进行传播,再次滥用了原生云基础设施,在加密之前窃取了数据。”

更为老练的威胁组织已经将社交攻击技巧发展到能够可靠地诱骗目标帮助他们绕过多因素身份验证(MFA)控制 ,进而洗劫被入侵的云托管环境 。

例如,谷歌的研究人员警告称,源码库威胁行为者正在使用被窃取的OAuth令牌来绕过MFA,并通过自动化CI/CD管道将恶意代码注入开发者生态系统 。

作为应对这一攻击向量的措施,谷歌推出了Verified CRX Upload控制功能,以保护这些基于云的构建过程中使用的非人类身份。

Tenable公司欧洲、中东和非洲地区技术总监兼安全策略师伯纳德·蒙泰尔(Bernard Montel)告诉记者 ,凭据泄露和配置错误仍然是“云安全的致命弱点” ,这与谷歌云研究人员的关键发现不谋而合。

根据Tenable的研究 ,云环境中经常出现机密信息和凭据处理不当的情况。

超过一半(54%)使用AWS ECS任务定义的企业和52%使用GCP CloudRun的企业在配置中嵌入了机密信息,约3.5%的AWS EC2实例在用户数据中包含机密信息 。

“这些机密信息 ,通常以API密钥或令牌的形式存在 ,是攻击者的主要目标,可能导致整个环境被完全攻陷。”蒙泰尔解释道 。

这种威胁不仅限于勒索软件。例如 ,Kinsing恶意软件活动就通过利用配置错误的容器和服务器来部署加密货币挖矿程序 ,从而针对基于Linux的云基础设施。

在某些情况下 ,攻击者会将恶意软件隐藏在文件系统中难以察觉的位置 ,如手册页目录,以逃避检测 。

“这些凭据一旦泄露,就可能使攻击者实现横向移动和权限提升  ,绕过传统的边界防御 ,并暴露敏感数据。”蒙泰尔补充道。

据ITGL的卡萨布吉称,朝鲜的UNC4899团伙提供了一个利用此类策略进行网络犯罪的典型案例 。“攻击者通过LinkedIn或Telegram诱骗工程师运行恶意容器 ,然后窃取长期有效的云令牌,完全绕过MFA。”卡萨布吉说 。

应对措施

身份管理和配置管理仍然是云防御者的第一道防线 。

谷歌云的报告倡导实施强大的身份和访问管理以及主动的漏洞管理 ,同时强调“强大的恢复机制” 、检查“供应链完整性”以及“持续警惕复杂的社会工程学攻击”。

Tenable的蒙泰尔建议 :“为了应对这些威胁,企业必须采取分层防御策略 :实施最小权限原则 、使用多因素身份验证和即时访问来保护身份 ,并持续监控配置错误和公开暴露情况。”

  • Tag:

相关文章

  • Milvus向量数据库如何确保数据安全?

    译者 | 李睿审校 | 孙淑娟在充分考虑数据安全的情况下,用户身份验证和传输层安全(TLS)连接现在在Milvus 2.1中正式可用。无需用户身份验证,任何人都可以使用SDK访问
    2025-12-07

  • 物联网僵尸网络已成为助长DDoS攻击的土壤

    虽然数据泄露和勒索软件仍然被认为是企业需要面对的更为重要的问题之一,但威胁有时来自我们意想不到的方向。比如网络犯罪分子将僵尸网络用于各种恶意目的,其中最重要的是用于对目标的DDoS攻击。最重要的变化是
    2025-12-07

  • 2023年的网络安全预算分配

    未来一年的网络安全支出可能无法防止经济衰退,但它很可能能够在一定程度上抵御经济衰退。尽管如此,安全部门的领导们仍然面临着压力,因为他们要优先考虑那些能产生最大效益的技术。为了帮企业做到这一点,Forr
    2025-12-07

  • 防火墙漏洞使用户很容易受到黑客的主动攻击

    美国网络安全和基础设施安全局CISA)向公众和联邦IT安全团队发出警告,Palo Alto Networks防火墙软件容易受到攻击,并且要求当前应用尽快发布修复程序。敦促联邦机构在9月9日前修补该漏洞
    2025-12-07

  • 行为序列模型在抖音风控中的应用

    作者 | 郑智献 背景行为序列模型相对于传统机器学习的主要优势在于不依赖行为画像特征,无需强专家经验挖掘高效特征来提升模型性能,缩短了特征工程的周期,能快速响应黑产攻击。黑产通过刷接口、
    2025-12-07

  • 俄罗斯最大银行遭到DDoS攻击

    5月19日,俄罗斯最大银行Sberbank(联邦储蓄银行)官网披露,在5月6日成功击退了有史以来规模最大的DDoS攻击,峰值流量高达450 GB/秒。此次攻击Sberbank主要
    2025-12-07

最新评论