En allant au-delà des simples points de terminaison, les gangs de ransomware suivent les données, conduisant à des chaînes d’attaque d’extorsion plus sophistiquées-natives.
Les groupes de ransomwares et autres cybercriminels ciblent de plus en plus des systèmes de sauvegarde basés sur le cloud, ce qui remet en question les approches établies de longue date de la reprise après sinistre.
Les attaques contre les sauvegardes basées sur le cloud deviennent de plus en plus courantes, car les attaquants de plus en plus sophistiqués perfectionnent leurs techniques d’exfiltration de données, de compromis d’identité et d’attaques de la chaîne d’approvisionnement, les chercheurs en sécurité de Google préviennent dans un rapport sur l’évolution des menaces de sécurité du cloud.
Le dernier rapport Google Cloud Keners Horizons, qui couvre la première moitié de 2025, a également constaté que le compromis et la mauvaise configuration des informations d’identification restent les principaux points d’entrée pour les acteurs de la menace dans des environnements cloud.
«Extorsion native du nuage»
Diverses équipes de Google Cloud Intelligence, Security et Product ont contribué au rapport, qui couvre non seulement les menaces pour Google Cloud, mais celles auxquelles sont confrontés les fournisseurs de services cloud multiples, sinon tous, leurs clients.
«Les attaques ne se limitent plus aux points d’extrémité; ils suivent les données, et cela comprend des instantanés, des seaux S3 et un stockage d’objets cloud», a déclaré Dave Manning, SVP et Global Ciso chez LeMongrass, un spécialiste de la fourniture de systèmes SAP basés sur le cloud. « Les fonctionnalités de cloud natives comme le cryptage SSE-C sont même détournées pour réincréner les données et les tenir pour rançon, comme nous l’avons vu dans la campagne CodeFinger. »
Manning a ajouté: « Le ransomware moderne n’est pas seulement le cryptage; c’est l’extorsion native du cloud. »
Les chercheurs de Google notent également dans leur rapport que les attaquants désactivent ou suppriment les sauvegardes hébergées par le nuage au début de la chaîne de mise à mort pour maximiser l’effet de levier.
«Ce même schéma a été observé dans les récentes intrusions de Hellcat, Akira et AlphV / Blackcat, où des copies immuables ont été localisées et essuyées avant la baisse de l’avis d’extorsion», a déclaré David Kasabji, analyste principal des renseignements sur les menaces pour ITGL, la division de sécurité de la conscience du fournisseur de transformation numérique. «Dans la pratique, si les sauvegardes d’une organisation vivent sur le même plan de contrôle que la production, les adversaires supposent qu’ils sont un jeu équitable.»
Kasabji a ajouté: « Les niveaux de récupération isolés, versés et contrôlés par l’accès deviennent non négociables. »
Les gangs de ransomware ont tourné les propres outils basés sur la victime contre eux. Par exemple, des groupes notoires tels que BlackCat (AlphV) et Rhysida ont activement exploité l’accès au stockage Azure Blob, à l’accélération de transfert Amazon S3 et à des services de sauvegarde tels que Azure Storage Explorer pour exfiltrer et crypter des fichiers sensibles.
«La menace va au-delà du chiffrement – les adversaires modifient les politiques du cycle de vie pour supprimer automatiquement les fichiers en quelques jours, comme le montre les attaques de CodeFinger, créant un sentiment d’urgence manufacturé», a déclaré Cameron Sipes, directeur de la sécurité du cloud chez Sentinelone. «Ces tactiques contournent la sécurité traditionnelle des paramètres et exploitent l’élasticité des ressources cloud pour un impact rapide et difficile à réédition.»
SIPES a ajouté: « Dans une autre campagne attribuée à un imitateur de verrouillage, le ransomware a été livré via l’accélération de transfert Amazon S3, abusant à nouveau de l’infrastructure cloud native pour siphonner les données avant le cryptage. »
Compromis des informations d’identification et erreurs de configuration
Des groupes de menaces plus sophistiqués ont développé des techniques d’ingénierie sociale au point qu’ils incitent de manière fiable les cibles à les aider à contourner les contrôles d’authentification multi-facteurs (MFA) avant de saccager des environnements compromis de cloud.
Par exemple, les acteurs de la menace utilisent des jetons OAuth compromis pour contourner le MFA et injecter du code malveillant dans les écosystèmes des développeurs via des pipelines CI / CD automatisés, avertissent les chercheurs de Google.
Google a introduit des contrôles de téléchargement CRX vérifiés pour sécuriser les identités non humaines utilisées dans ces processus de construction basés sur le cloud comme contre-mesure contre ce vecteur d’attaque.
Les secrets et les références sont régulièrement mal gérés dans les environnements cloud, selon les recherches de Tenable.
Plus de la moitié (54%) des organisations utilisant des définitions de tâches AWS ECS et 52% utilisant GCP Cloudrun ont des secrets intégrés dans les configurations. Environ 3,5% des instances AWS EC2 contiennent des secrets dans les données utilisateur.
« Ces secrets, souvent sous la forme de clés API ou de jetons, sont des cibles principales pour les attaquants et peuvent entraîner un compromis complet de l’environnement », a expliqué Montel.
La menace s’étend au-delà des ransomwares. Par exemple, la campagne Kinsing Malware cible l’infrastructure cloud basée sur Linux en exploitant des conteneurs et des serveurs mal configurés pour déployer des cryptomines.
Dans certains cas, les attaquants ont des logiciels malveillants cachés dans des emplacements de système de fichiers obscurs tels que les répertoires de pages manuels afin d’échapper à la détection.
« Ces informations d’identification, une fois compromises, peuvent permettre l’escalade des mouvements latéraux et des privilèges, contournant les défenses traditionnelles du périmètre et exposant des données sensibles », a ajouté Montel.
Le cluster UNC4899 nord-coréen offre un exemple de manuel d’exploitation de la tactique à la poursuite de la cybercriminalité, selon Kasabji d’Itgl. « Les ingénieurs sont courtisés sur LinkedIn ou Telegram, a été trompé dans des conteneurs malveillants, et les attaquants repartent avec des jetons de nuages à longue durée de vie qui évitent complètement le MFA », a déclaré Kasabji.
Contre-mesures
L’hygiène d’identité et la gestion de la configuration restent la première ligne de défense du Cloud Defender.
Le rapport de Google Cloud préconise une gestion robuste de l’identité et de l’accès et une gestion proactive de la vulnérabilité aux côtés de «mécanismes de récupération robustes», vérifie «l’intégrité de la chaîne d’approvisionnement» et la «vigilance continue contre les attaques sophistiquées de l’ingénierie sociale».
Montel de Tenable a conseillé: «Pour contrer ces menaces, les organisations doivent adopter une stratégie de défense en couches: appliquer le moins de privilèges, des identités sécurisées avec l’authentification multi-facteurs et l’accès juste à temps et surveiller en permanence les erreurs de configuration et les expositions publiques.»
