Em novo relatório publicado no último sábado (17), a IBM Security X-Force reviu dados coletados entre julho de 2021 e junho de 2022, e constatou que em 99% dos testes promovidos em ambientes cloud foram detectados identidades cloud excessivamente privilegiadas em seu poder de acesso. Isso, segundo a análise, “permite a qualquer invasor que conseguir inserir-se no ambiente a mover-se e explorar componentes ou ativos do cloud”.
A X-Force consiste num time de hackers, pesquisadores e analistas focados em ameaças cibernéticas, e seu portifólio inclui produtos e serviços de avanço e defesa de meios em rede, baseados em um olhar panorâmico sobre as ameaças.
“Permissões excessivas são algumas das mais comuns falhas de configuração que a X-Force Red observou em seus testes de inserção em cloud conduzidos no ano passado. Junto de excessivas permissões, havia também péssimas políticas de acesso à interfaces de programação e aplicação de contas cloud (API); unido à falta de autenticação de multifatores (MFA), ou de políticas de senhas, ou ainda ambas.” Continua o relatório.
Até a publicação dessa pesquisa, a X-Force informou ter rastreado cerca de 3.200 vulnerabilidades relativas ao cloud – representando um aumento de 540% nos últimos seis anos – e um crescimento de 28% em novas vulnerabilidades comparado ao ano passado. 26% das reações da X-Force Incident Response (IR) envolvendo comprometimentos bem-sucedidos de cloud foram resultados diretos de exploração de aplicações vulneráveis.
“O grande problema da ocorrência de vazamentos dos acessos cloud é permitir o uso indevido desses ambientes por usuários mal-intencionados enquanto estes permanecem escondidos por tempo indeterminado. Dados da pesquisa revelaram ainda que muitas intrusões em meios cloud ocorreram através do uso de força bruta (quando se usa de tentativa e erro), com preenchimento de credenciais e pulverização de senhas sendo alguns métodos comuns”.
Acessos cloud na Dark Web
Outro dado preocupante foram relativos aos acessos cloud postos à venda na Dark Web. Nos dados coletados, a X-Force informou ter detectado mais de 100.000 contas cloud sendo ofertadas no espaço da Dark Web, sendo que 76% deles (80.489) eram de contas do tipo Protocolo de Desktop Remoto (RDP), ou credenciais para sistemas de base do Windows funcionando em algum recurso em nuvem. Isso corresponde a uma quantidade 200% maior do que o que foi encontrado na análise de 2021.
“Os pesquisadores da X-Force colhem informações regularmente de dentro da Dark Web para entender melhor o ambiente em que indivíduos relacionados a essas ameaças negociam. Existem vários ‘marketplaces’ e fóruns onde contas cloud são ofertadas, procuradas e vendidas pelo maior lance”. Alerta o relatório.
Segundo o parecer, muitas das atividades de risco parecem concentradas em usar esses acesso da nuvem comprometidos para processo de criptomineração. Esse interesse ocorre por uma lista de razões: possibilidade de transferir os custos altos das operações às vítimas, bem como o uso de recursos cloud para driblar vigilâncias internas, e lançamento e fixação de criptomineiros no momento certo e em grande escala. Os invasores ainda podem, com o fim de suas operações, promover pedidos de resgate através de extorsão dos usuários afetados.
O preço médio de uma transação envolvendo cloud é de USD$ 10,27. Entretanto, a venda de credenciais comprometidas costumam exigir um sobrepreço de 47% em relação ao acesso RDP. “Os preços médios vieram da análise de mais de 52.000 foruns através de múltiplos marketplaces da Dark Web. Esses dados permitem a comparação de preços entre essas duas formas mais comuns de acesso à venda. Um motivo para essa diferenciação de preços é o fato dessas credenciais ofertadas incluem vários dados de login, possivelmente vindos de outros serviços que foram roubados junto das credenciais”, explica o relatório.