勒索软件转向云原生架构，直指备份基础设施

勒索软件组织和其他网络犯罪分子正越来越多地将目标对准基于云的备份系统，对久已确立的灾难恢复方法构成了挑战。

谷歌安全研究人员在一份关于云安全威胁演变的报告中警告称，随着攻击者不断改进数据窃取、身份泄露和供应链攻击技术，针对云备份的攻击正日益普遍。

谷歌最新发布的《2025年上半年云威胁态势报告》还发现，凭据泄露和配置错误仍是威胁行为者入侵云环境的主要入口。

该报告由谷歌云多个情报、安全和产品团队共同编写，不仅涵盖了谷歌云面临的威胁，还涉及了多家云服务提供商及其客户所面临的威胁。

独立安全专家证实了谷歌的发现，即勒索软件组织正越来越多地将目标对准云中的备份基础设施。

“攻击不再局限于终端设备，它们会追踪数据，包括快照、S3存储桶和云对象存储，”云SAP系统提供商Lemongrass公司高级副总裁兼全球首席信息安全官戴夫·曼宁(Dave Manning)表示，“正如我们在Codefinger攻击活动中看到的那样，像SSE-C加密这样的原生云功能甚至被劫持，用于重新加密数据并索要赎金。”

曼宁补充道：“现代勒索软件不仅仅是加密数据，它还是一种云原生勒索。”

谷歌的研究人员还在报告中指出，攻击者会在攻击链的早期阶段禁用或删除云托管备份，以获取最大利益。

“在最近的HellCat、Akira和ALPHV/BlackCat入侵事件中，我们也观察到了同样的模式，即在发出勒索通知之前，攻击者会定位并清除不可变备份副本，”数字化转型提供商Conscia的安全部门ITGL的首席威胁情报分析师大卫·卡萨布吉(David Kasabji)表示，“实际上，如果一个企业的备份与生产环境位于同一控制平面，那么攻击者就会认为这些备份是可以攻击的目标。”

卡萨布吉补充道：“因此，隔离、版本控制和访问控制的恢复层级变得不可或缺。”

勒索软件组织已利用受害者自身的云工具进行攻击。例如，BlackCat(ALPHV)和Rhysida等臭名昭著的团伙就积极利用对Azure Blob存储、亚马逊S3传输加速以及Azure存储资源管理器等备份服务的访问权限，来窃取和加密敏感文件。

“威胁不仅限于加密——正如在Codefinger的攻击中所见，攻击者还会修改生命周期策略，在几天内自动删除文件，从而制造一种人为的紧迫感，”SentinelOne云安全总监卡梅伦·赛普斯(Cameron Sipes)表示，“这些策略绕过了传统的终端安全防护，利用了云资源的弹性，造成了快速且难以逆转的影响。”

赛普斯补充道：“在另一场据信由LockBit模仿者发起的攻击活动中，勒索软件通过亚马逊S3传输加速进行传播，再次滥用了原生云基础设施，在加密之前窃取了数据。”

更为老练的威胁组织已经将社交攻击技巧发展到能够可靠地诱骗目标帮助他们绕过多因素身份验证(MFA)控制，进而洗劫被入侵的云托管环境。

例如，谷歌的研究人员警告称，威胁行为者正在使用被窃取的OAuth令牌来绕过MFA，并通过自动化CI/CD管道将恶意代码注入开发者生态系统。

作为应对这一攻击向量的措施，谷歌推出了Verified CRX Upload控制功能，以保护这些基于云的构建过程中使用的非人类身份。

Tenable公司欧洲、中东和非洲地区技术总监兼安全策略师伯纳德·蒙泰尔(Bernard Montel)告诉记者，凭据泄露和配置错误仍然是“云安全的致命弱点”，这与谷歌云研究人员的关键发现不谋而合。

根据Tenable的研究，云环境中经常出现机密信息和凭据处理不当的情况。

超过一半(54%)使用AWS ECS任务定义的企业和52%使用GCP CloudRun的企业在配置中嵌入了机密信息，约3.5%的AWS EC2实例在用户数据中包含机密信息。

“这些机密信息，通常以API密钥或令牌的形式存在，是攻击者的主要目标，可能导致整个环境被完全攻陷。”蒙泰尔解释道。

这种威胁不仅限于勒索软件。例如，Kinsing恶意软件活动就通过利用配置错误的容器和服务器来部署加密货币挖矿程序，从而针对基于Linux的云基础设施。

在某些情况下，攻击者会将恶意软件隐藏在文件系统中难以察觉的位置，如手册页目录，以逃避检测。

“这些凭据一旦泄露，就可能使攻击者实现横向移动和权限提升，绕过传统的边界防御，并暴露敏感数据。”蒙泰尔补充道。

据ITGL的卡萨布吉称，朝鲜的UNC4899团伙提供了一个利用此类策略进行网络犯罪的典型案例。“攻击者通过LinkedIn或Telegram诱骗工程师运行恶意容器，然后窃取长期有效的云令牌，完全绕过MFA。”卡萨布吉说。

应对措施

身份管理和配置管理仍然是云防御者的第一道防线。

谷歌云的报告倡导实施强大的身份和访问管理以及主动的漏洞管理，同时强调“强大的恢复机制”、检查“供应链完整性”以及“持续警惕复杂的社会工程学攻击”。

Tenable的蒙泰尔建议：“为了应对这些威胁，企业必须采取分层防御策略：实施最小权限原则、使用多因素身份验证和即时访问来保护身份，并持续监控配置错误和公开暴露情况。”