Din virksomheds data ligger i skyen. Hackeren logger ind med stjålne nøgler og krypterer alt med funktionen, som cloud-udbyderen selv stiller til rådighed.
Udbyderen gemmer ikke nøglen. Du har 7 dage til at betale.
Cloud-ransomware virker anderledes
Angrebet hedder cloud-ransomware, og det adskiller sig fundamentalt fra den ransomware, de fleste kender.
Her installeres ingen malware. Ingen filer downloades.
Hackeren bruger cloud-udbyderens egen krypteringsfunktion, Server-Side Encryption med kundenøgler (SSE-C), til at kryptere dine data med en nøgle, som kun hackeren har.
Udbyderen udfører krypteringen, men gemmer ikke nøglen. Der logges kun et fingeraftryk, som ikke kan bruges til at dekryptere noget.
Overstået før alarmen lyder
Sikkerhedsforskere opdagede den første gruppe, der brugte denne metode, i januar 2025. Siden er der identificeret mindst fem varianter, der alle misbruger cloud-udbyderes egne krypteringsfunktioner.
Forskere har demonstreret, at 100 GB data kan krypteres på under to minutter. Cloud-udbydernes egne logfiler leveres tidligst efter fem minutter.
Angrebet er overstået, før alarmen lyder.
Den anden side af cloud-risikoen
I sidste uge skrev jeg om, hvordan AI-kodningsværktøjer kan plante ondsindede softwarepakker i jeres systemer.
Det her er den anden side af cloud-risikoen.
Jeres data i skyen er kun sikre, så længe nøglerne til dem er det.
Massiv afhængighed, utilstrækkelig sikring
Langt de fleste danske virksomheder bruger cloud-løsninger. Ifølge Dansk Erhverv kan kun 5% i høj grad opretholde kerneopgaver uden IT.
Og ifølge Styrelsen for Samfundssikkerhed har 40% af danske SMV’er ikke den rette balance mellem sikkerhedsniveau og risikoprofil.
Massiv cloud-afhængighed og utilstrækkelig sikring af adgangsnøglerne er en farlig kombination.
Ikke en sårbarhed. Misbrug af en funktion.
Det vigtigste er at forstå, at dette ikke er en sårbarhed i cloud-udbyderen.
Det er misbrug af en legitim funktion via stjålne adgangsnøgler. Og det kan ske hos enhver cloud-udbyder, der tilbyder kundestyret kryptering.
Funktionen er designet til at give jer kontrol over jeres egne krypteringsnøgler. Problemet opstår, når nogen andre får fat i nøglerne først.
Fem ting du kan gøre nu
Spørg din IT-leverandør, om kundestyret kryptering er blokeret i jeres cloud-opsætning. Hvis I ikke aktivt bruger funktionen, bør den være deaktiveret via en adgangspolitik. En funktion, I ikke bruger, bør ikke kunne misbruges mod jer.
Skift fra permanente til midlertidige adgangsnøgler. De fleste cloud-udbydere tilbyder roller og tokens, der udsteder nøgler, som automatisk udløber. Nøgler, der ikke eksisterer permanent, kan ikke stjæles permanent.
Slå objektlås og versionering til på jeres vigtigste data. Det forhindrer, at filer kan overskrives eller slettes, selv med gyldige adgangsoplysninger. En ekstra barriere, der kan redde jer.
Test om jeres cloud-backup faktisk kan gendannes. En backup, der ligger i samme konto som jeres produktionsdata, kan krypteres i samme angreb. Overvej en kopi i en separat konto eller hos en anden udbyder.
Kortlæg hvem i organisationen der har cloud-adgangsnøgler, og hvornår de sidst blev roteret. Nøgler, der har eksisteret i måneder eller år uden rotation, er det første, en angriber leder efter.
Nøglerne er alt
Cloud-sikkerhed handler i sidste ende om nøgler.
Hvem har dem. Hvor længe de lever. Hvad der sker, hvis de stjæles.
De fleste organisationer bruger langt mere tid på at sikre deres fysiske nøgler end deres digitale. Det er en fejl, der kan koste alt.
Få gennemgået jeres cloud-sikkerhed
En teknisk sikkerhedsgennemgang kortlægger, hvordan jeres cloud-data er beskyttet, om farlige funktioner er deaktiveret, og om jeres nøgler roteres regelmæssigt.
Et leverandøraudit afslører, om jeres IT-leverandør har styr på cloud-sikkerhed, eller om de bruger standardopsætninger med permanente nøgler.
Og en cybersikkerhedsaudit giver jer det samlede billede af jeres sikkerhedsposition, inklusiv de cloud-risici, som de fleste først opdager, når det er for sent.
Hackeren brugte skyens egen kryptering. Nøglen er væk. Kan I gendanne jeres data uden at betale?
Har du brug for at få gennemgået jeres cloud-sikkerhed?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
