勒索软件转向云原生，瞄准备份基础设施

勒索软件组织及其他网络犯罪分子日益将目标对准基于云的备份系统，挑战了长期建立的灾难恢复方法。

对基于云的备份的攻击正变得越来越普遍，因为日益复杂的攻击者磨练其数据窃取、身份泄露和供应链攻击的技术，谷歌的安全研究人员在一份关于云安全威胁演变的报告中警告。

最新的谷歌云威胁地平线报告（涵盖2025年上半年）还发现，凭证泄露和配置错误仍然是威胁行为者进入云环境的主要入口点。

云原生勒索

多个谷歌云情报、安全和产品团队贡献了这份报告，该报告不仅涵盖对谷歌云的威胁，还包括多个（如果不是所有）云服务提供商及其客户面临的威胁。

独立安全专家向CSO证实了谷歌的发现，即勒索软件组织日益瞄准云中的备份基础设施。

“攻击不再局限于端点；它们跟随数据，包括快照、S3桶和云对象存储，”Lemongrass（一家提供基于云的SAP系统的专家）的全球首席信息安全官Dave Manning说。“甚至原生云功能如SSE-C加密被劫持以重新加密数据并勒索，正如我们在Codefinger活动中所见。”

Manning补充说：“现代勒索软件不仅仅是加密；它是云原生勒索。”

谷歌的研究人员还在报告中指出，攻击者在杀伤链早期禁用或删除云托管备份以最大化杠杆。

“在最近的HellCat、Akira和ALPHV/BlackCat入侵中观察到相同的模式，其中不可变副本在勒索通知发出前被定位和擦除，”数字转型提供商Conscia的安全部门ITGL的首席威胁情报分析师David Kasabji说。“实际上，如果组织的备份与生产在同一控制平面上，对手认为它们是公平游戏。”

Kasabji补充说：“隔离、版本化和访问控制的恢复层变得不可协商。”

勒索软件团伙已将受害者自己的基于云的工具用于对付他们。例如，臭名昭著的团体如BlackCat（ALPHV）和Rhysida积极利用对Azure Blob Storage、Amazon S3 Transfer Acceleration和备份服务如Azure Storage Explorer的访问来窃取和加密敏感文件。

“威胁超越加密——对手修改生命周期策略以在几天内自动删除文件，如Codefinger的攻击所示，制造出一种紧迫感，”SentinelOne的云安全总监Cameron Sipes说。“这些策略绕过传统端点安全，并利用云资源的弹性实现快速、难以逆转的影响。”

Sipes补充说：“在另一个归因于LockBit模仿者的活动中，勒索软件通过Amazon S3 Transfer Acceleration交付，再次滥用原生云基础设施在加密前窃取数据。”

凭证泄露和配置错误的困扰

更复杂的威胁团体已发展出社交工程技术，以至于他们可靠地欺骗目标帮助他们绕过多因素认证（MFA）控制，然后洗劫受损的云托管环境。

例如，威胁行为者使用受损的OAuth令牌绕过MFA，并通过自动CI/CD管道将恶意代码注入开发者生态系统，谷歌的研究人员警告。

谷歌已引入Verified CRX Upload控制，以保护这些基于云的构建过程中使用的非人类身份，作为对此攻击向量的对策。

Tenable的EMEA技术总监和安全策略师Bernard Montel告诉CSO，凭证泄露和配置错误继续是“云安全的阿喀琉斯之踵”，呼应了谷歌云研究人员的一个关键发现。

根据Tenable的研究，秘密和凭证在云环境中经常被不当处理。

超过一半（54%）使用AWS ECS任务定义的组织和52%使用GCP CloudRun的组织在配置中嵌入了秘密。约3.5%的AWS EC2实例在用户数据中包含秘密。

“这些秘密，通常以API密钥或令牌的形式，是攻击者的主要目标，可能导致环境的完全妥协，”Montel解释。

威胁超越勒索软件。例如，Kinsing恶意软件活动通过利用配置错误的容器和服务器来部署加密矿工，针对基于Linux的云基础设施。

在某些情况下，攻击者将恶意软件隐藏在晦涩的文件系统位置，如手册页目录，以逃避检测。

“这些凭证一旦泄露，可以实现横向移动和权限提升，绕过传统边界防御并暴露敏感数据，”Montel补充。

根据ITGL的Kasabji，朝鲜的UNC4899集群提供了一个教科书式的利用此策略追求网络犯罪的例子。“工程师通过LinkedIn或Telegram被诱惑，被骗运行恶意容器，攻击者带着长期有效的云令牌离开，完全绕过MFA，”Kasabji说。

对策

身份卫生和配置管理仍然是云防御者的第一道防线。

谷歌云的报告主张强大的身份和访问管理以及主动的漏洞管理，同时“强大的恢复机制”、“供应链完整性检查”和“对复杂社交工程攻击的持续警惕”。

Tenable的Montel建议：“为了应对这些威胁，组织必须采用分层防御策略：执行最小权限，用多因素认证和即时访问保护身份，并持续监控配置错误和公共暴露。”