Punti chiave
Nel 66% dei bucket di archiviazione cloud si trovano dati sensibili esposti a minacce sempre più sofisticate. Gli attaccanti non forzano le porte: usano le chiavi fornite dagli stessi strumenti di sicurezza cloud.
Il cloud non è un rifugio sicuro. È il messaggio allarmante che arriva dall’ultimo rapporto sulle minacce cloud pubblicato da Unit 42 di Palo Alto Networks. Secondo l’analisi, circa due terzi dei bucket di archiviazione cloud contengono dati sensibili, esponendoli al rischio concreto di attacchi ransomware. Una minaccia che si sta evolvendo rapidamente e che sfrutta, paradossalmente, proprio le funzionalità di sicurezza messe a disposizione dai provider
La nuova generazione di ransomware
Non si tratta più di semplici file bloccati da un virus. Gli attacchi più recenti mirano a colpire direttamente le infrastrutture cloud, sfruttando meccanismi nativi di crittografia e configurazioni errate o lasciate ai valori di default.
Brandon Evans, consulente per la sicurezza e istruttore certificato del SANS Institute, spiega di aver osservato personalmente due casi recenti in cui gli aggressori hanno condotto un attacco ransomware utilizzando esclusivamente strumenti legittimi forniti dal cloud stesso. Nessun malware, nessun exploit. Solo un uso mirato delle API di sicurezza.
Un esempio è la campagna resa nota da Halcyon, dove i cybercriminali hanno utilizzato SSE-C (Server Side Encryption with Customer-Provided Keys), uno dei metodi di crittografia disponibili per Amazon S3, per bloccare ogni bucket bersaglio. In pratica, hanno caricato i dati crittografati utilizzando chiavi sotto il loro pieno controllo, rendendoli inaccessibili ai legittimi proprietari.
Qualche mese prima, il consulente Chris Farris aveva dimostrato la fattibilità di un attacco simile, sfruttando le chiavi KMS (Key Management Service) con materiale esterno. L’aspetto inquietante? Il tutto è stato realizzato usando semplici script generati da ChatGPT.
“È evidente che questa tematica è al centro dell’interesse, sia da parte dei ricercatori che degli attori malevoli”, osserva Evans. E i numeri del rapporto Unit 42 confermano che la superficie d’attacco è ampia e tutt’altro che protetta.
Perché il cloud non basta
Il problema principale è l’errata percezione di sicurezza. Molti utenti e organizzazioni associano il cloud a un ambiente intrinsecamente protetto, dove i dati sono al sicuro per default. Ma non è così.
“Le prime soluzioni cloud con cui la maggior parte delle persone entra in contatto sono servizi come OneDrive, Dropbox o iCloud”, spiega Evans. “Questi spesso offrono il ripristino dei file abilitato di default. Ma non è il caso di Amazon S3, Azure Storage o Google Cloud Storage. Qui è responsabilità dell’utente abilitare protezioni come backup o versioning.”
Il principio della “shared responsibility” – la responsabilità condivisa tra cliente e provider – spesso viene ignorato. E gli aggressori lo sanno bene.
Le raccomandazioni del SANS Institute
Per contrastare questa nuova forma di ransomware cloud-native, il SANS Institute propone una serie di linee guida concrete:
1. Capire davvero i controlli di sicurezza del cloud. Non basta sapere che esistono. Bisogna comprenderne il funzionamento, i limiti, e soprattutto non dare nulla per scontato. Ogni servizio ha le sue logiche, e ciò che è automatico in una piattaforma, può essere completamente assente in un’altra.
2. Bloccare i metodi di crittografia ad alto rischio. Funzionalità come SSE-C e le chiavi KMS con materiale esterno danno all’utente – e potenzialmente all’attaccante – il pieno controllo sulla chiave. Per questo, è fondamentale imporre l’uso di metodi più sicuri tramite policy di Identity and Access Management (IAM), come SSE-KMS con chiavi gestite interamente su AWS.
3. Abilitare backup, versioning e object lock. Questi strumenti possono fare la differenza tra un disastro e un recupero rapido. Tuttavia, non sono attivi di default in nessuno dei principali provider cloud. Attivarli e configurarli correttamente è una scelta strategica che richiede consapevolezza.
4. Gestire il ciclo di vita dei dati. Le misure di sicurezza hanno un costo. E ogni gigabyte archiviato ha un prezzo. I provider permettono di creare policy automatiche per l’eliminazione dei dati non più necessari. Ma attenzione: gli aggressori possono usare queste stesse policy contro l’organizzazione, per minacciare la cancellazione definitiva dei dati e forzare il pagamento del riscatto, come già accaduto in campagne precedenti.
Una battaglia in pieno svolgimento
Il panorama che emerge è quello di un campo di battaglia ancora in fase di definizione. Da un lato, strumenti potenti e flessibili messi a disposizione dai provider cloud. Dall’altro, attaccanti sempre più abili nel piegarli ai propri scopi.
La sfida non è tecnologica, ma culturale. Occorre abbandonare l’illusione che il cloud “pensi a tutto” e iniziare a trattarlo per quello che è: uno strumento. E come ogni strumento, può fare del bene o del male, a seconda di chi lo usa e di come lo si configura.
Il messaggio è chiaro: non è sufficiente salire sul cloud. Bisogna sapere guidare.