勒索软件转向云原生以攻击备份基础设施

新闻分析
2025年8月5日 · 5分钟阅读 · 云安全 · 勒索软件 · 威胁与漏洞管理

勒索软件组织及其他网络犯罪分子正日益瞄准基于云的备份系统，挑战了长期建立的灾难恢复方法。谷歌的安全研究人员在一份关于云安全威胁演变的报告中警告称，随着攻击者不断完善数据窃取、身份盗用和供应链攻击技术，针对云备份的攻击正变得越来越普遍。

2025年上半年的最新谷歌云威胁地平线报告还发现，凭证泄露和配置错误仍然是威胁行为者进入云环境的主要入口点。

云原生勒索

多个谷歌云情报、安全和产品团队贡献了这份报告，内容不仅涵盖谷歌云面临的威胁，还包括多个（即使不是全部）云服务提供商及其客户所面临的威胁。

独立安全专家向CSO证实了谷歌的发现，即勒索软件组织越来越多地瞄准云中的备份基础设施。“攻击不再局限于终端；它们跟随数据，包括快照、S3存储桶和云对象存储，”专注于提供基于云的SAP系统的Lemongrass全球首席信息安全官Dave Manning表示。“甚至原生云功能如SSE-C加密也被劫持，以重新加密数据并勒索赎金，正如我们在Codefinger活动中所见。”

Manning补充道：“现代勒索软件不仅仅是加密；它是云原生勒索。”

谷歌的研究人员还在报告中指出，攻击者在攻击链早期禁用或删除云托管备份，以最大化杠杆效应。“在最近的HellCat、Akira和ALPHV/BlackCat入侵中观察到相同模式，其中不可变副本在勒索通知发出前被定位和擦除，”数字转型提供商Conscia的安全部门ITGL的首席威胁情报分析师David Kasabji表示。“实际上，如果组织的备份与生产环境位于同一控制平面，对手认为它们是公平游戏。”

Kasabji补充道：“隔离、版本化和访问控制的恢复层正变得不可或缺。”

勒索软件团伙利用受害者自身的云工具

例如，臭名昭著的团伙如BlackCat（ALPHV）和Rhysida积极利用对Azure Blob存储、Amazon S3传输加速和备份服务（如Azure存储资源管理器）的访问来窃取和加密敏感文件。“威胁超越加密——对手修改生命周期策略以在几天内自动删除文件，如Codefinger攻击中所见，制造出一种人为的紧迫感，”SentinelOne云安全总监Cameron Sipes表示。“这些策略绕过传统终端安全，并利用云资源的弹性实现快速、难以逆转的影响。”

Sipes补充道：“在另一次归因于LockBit模仿者的活动中，勒索软件通过Amazon S3传输加速交付，再次滥用原生云基础设施在加密前窃取数据。”

凭证泄露和配置错误问题

更复杂的威胁组织已发展出社会工程技术，能够可靠地欺骗目标帮助他们绕过多因素认证（MFA）控制，然后洗劫受损的云托管环境。例如，威胁行为者使用受损的OAuth令牌绕过MFA，并通过自动化CI/CD管道将恶意代码注入开发生态系统，谷歌研究人员警告。

谷歌已引入Verified CRX上传控制，以保护这些基于云的构建过程中使用的非人类身份，作为对此攻击向量的对策。

Tenable的EMEA技术总监和安全策略师Bernard Montel告诉CSO，凭证泄露和配置错误继续是“云安全的阿喀琉斯之踵”，呼应了谷歌云研究人员的一个关键发现。根据Tenable的研究，秘密和凭证在云环境中经常被不当处理。

使用AWS ECS任务定义的组织中超过一半（54%）和使用GCP CloudRun的组织中52%在配置中嵌入了秘密。约3.5%的AWS EC2实例在用户数据中包含秘密。“这些秘密，通常以API密钥或令牌的形式，是攻击者的主要目标，可能导致环境的完全妥协，”Montel解释。

威胁超越勒索软件。例如，Kinsing恶意软件活动通过利用配置错误的容器和服务器部署加密矿工，瞄准基于Linux的云基础设施。在某些情况下，攻击者将恶意软件隐藏在隐蔽的文件系统位置（如手册页目录）以逃避检测。

“这些凭证一旦泄露，可以实现横向移动和权限提升，绕过传统边界防御并暴露敏感数据，”Montel补充。

根据ITGL的Kasabji，朝鲜的UNC4899集群提供了利用该策略进行网络犯罪的教科书式例子。“工程师通过LinkedIn或Telegram被引诱，被骗运行恶意容器，攻击者获得长期云令牌，完全绕过MFA，”Kasabji说。

对策

身份卫生和配置管理仍然是云防御者的第一道防线。谷歌云的报告倡导强大的身份和访问管理、主动漏洞管理以及“强大的恢复机制”、“供应链完整性检查”和“持续警惕复杂的社会工程”攻击。

Tenable的Montel建议：“为了应对这些威胁，组织必须采用分层防御策略：执行最小权限、用多因素认证和即时访问保护身份，并持续监控配置错误和公共暴露。”