Informatique

Google : La moitié des instances cloud compromises ont des

Google : La moitié des instances cloud compromises ont des mots de passe faibles

Des cybercriminels déploient des mineurs de cryptomonnaies en seulement 22 secondes après avoir compromis des instances de cloud mal configurées fonctionnant sur Google Cloud Platform (GCP).

22 secondes chrono

Le minage de cryptomonnaies est de loin la principale activité malveillante menée par les attaquants après avoir profité d’instances mal configurées hébergées sur GCP. Ce schéma représente 86 % des actions malveillantes constatées après une compromission.

Et dans de nombreux cas, les attaquants agissent extrêmement rapidement après avoir compromis une instance.

« L’analyse des systèmes utilisés pour effectuer des opérations de minage de cryptomonnaies non autorisées, pour lesquelles des informations chronologiques étaient disponibles, a révélé que, dans 58 % des cas, le logiciel de minage avait été téléchargé sur le système dans les 22 secondes suivant la compromission », indique Google dans son premier rapport « Cloud Threat Intelligence ».

80 % des instances ont été compromises dans les 24 heures

Une autre tendance frappante est la rapidité avec laquelle les attaquants trouvent et compromettent les instances non sécurisées exposées sur internet. Le délai de compromission le plus court est de 30 minutes après le déploiement de ces instances. Dans 40 % des cas, le délai de compromission était inférieur à huit heures.

La société de sécurité Palo Alto Networks a constaté de la même manière que 80 % des 320 instances « honey pot » hébergées dans le cloud et conçues pour attirer les attaquants étaient compromises dans les 24 heures.

Comme le souligne le rapport de Google, les logiciels malveillants de minage de cryptomonnaie constituent un problème pour les utilisateurs de GCP qui ne prennent pas de mesures pour protéger leurs instances cloud.

Les instances GCP exposées sur internet sont une cible importante

« Bien que le vol de données n’ait pas semblé être l’objectif de ces compromissions, cela reste un risque associé aux compromissions d’actifs cloud, car les acteurs malveillants commencent à effectuer de multiples formes d’abus. Les instances de cloud publiques exposées sur internet sont ouvertes aux scans et aux attaques par force brute », note Google.

Les instances GCP exposées sur internet sont une cible importante pour les attaquants. Un peu moins de la moitié des instances compromises ont été compromises par des attaquants qui ont obtenu l’accès à des instances sans mot de passe ou avec un mot de passe faible pour les comptes d’utilisateurs ou via les connexions API, ce qui signifie que ces instances pouvaient être facilement scannées et visées par des attaques par force brute.

« Cela suggère que l’espace public des adresses IP est régulièrement scanné à la recherche d’instances de cloud vulnérables. Il ne s’agira pas de savoir si une instance de cloud vulnérable est détectée, mais plutôt quand », avertit Google.

Des contrôles de base insuffisants

En outre, 26 % des instances compromises comportaient des vulnérabilités dans des logiciels tiers utilisés par le propriétaire.

« De nombreuses attaques réussies sont dues à une mauvaise hygiène et à un manque de mise en œuvre des contrôles de base », souligne Bob Mechler, directeur du bureau RSSI de Google Cloud.

Le rapport est une synthèse des observations faites au cours de l’année dernière par le groupe d’analyse des menaces de Google, le centre de sécurité et de confiance de Google Cloud et le service de renseignements sur les menaces de Google Cloud.

Source : ZDNet.com




Source link

Articles similaires

Bouton retour en haut de la page