top of page

12 maneiras pelas quais os invasores abusam dos serviços em nuvem para hackear sua empresa

  • Foto do escritor: Denis Riviello
    Denis Riviello
  • 10 de abr.
  • 3 min de leitura

Ilustração 3D de uma nuvem azul brilhante (representando computação em nuvem) contendo três blocos de dados. Abaixo dela, há um espaço circular escuro com duas colunas de luz subindo em direção à nuvem, indicando transferência de dados. Entre as colunas, aparece um cadeado, simbolizando segurança ou proteção de dados na nuvem.

O problema não é “usar nuvem” - A conversa sobre cloud security ainda costuma começar pela configuração errada, pela credencial exposta ou pela política mal aplicada.


Mas tem um ponto ganhando mais peso: o atacante já não olha só para a nuvem como alvo. 


Ele olha para a nuvem como infraestrutura de operação. 


A própria CSO descreve essa mudança como uma passagem de “living off the land” para “living off the cloud”, em que serviços SaaS, APIs, consoles de gestão e sistemas de identidade passam a ser usados para misturar atividade maliciosa com tráfego legítimo.



Quando o tráfego malicioso começa a parecer normal

Esse é o ponto que complica a defesa.


Segundo a reportagem, invasores estão empurrando comando e controle por serviços de alta reputação, incluindo APIs confiáveis, storage em nuvem, ferramentas de colaboração e provedores como AWS. 


O efeito prático é simples: bloquear fica mais difícil porque a atividade se parece com algo que a empresa já usa todos os dias.


A nuvem virou parte da infraestrutura do ataque

O artigo reúne 12 formas de abuso, mas elas apontam para uma lógica comum.


O atacante usa a nuvem para esconder comando e controle, hospedar payloads, exfiltrar dados, mover-se entre serviços, explorar identidades válidas e operar com mais elasticidade. 


Em vez de montar infraestrutura própria, ele aproveita recursos que já têm reputação, escala e presença no ambiente corporativo.


As formas de hackear que mais merecem atenção

Entre os exemplos citados, algumas formas de hackear chamam mais atenção pela capacidade de se confundir com atividade legítima.


Há casos de comando e controle via Google Sheets, com malware consultando planilhas para receber instruções e devolver resultados. 


Há também malware roteando comunicação por OpenAI Assistants API e por Microsoft Graph API, usando SharePoint e OneDrive para ler comandos e gravar saídas em pastas que parecem normais.


Há destacado também que payloads armazenados em buckets compatíveis com S3, exfiltração por Slack e Discord, campanhas que executam cadeias inteiras de ataque dentro da nuvem, além de phishing hospedado em infraestrutura legítima, o que enfraquece bastante a detecção baseada em domínio suspeito.


Elasticidade também ajuda quem ataca

Outro ponto importante é que a nuvem não oferece só camuflagem.


Ela oferece escala. A matéria cita o abuso de serviços serverless, como AWS Lambda e Azure Functions, para reconhecimento e varredura distribuída. 


Em vez de um servidor fazendo muito barulho, o atacante divide a atividade em milhares de funções efêmeras, usando IPs de alta reputação que mudam o tempo todo.


O perímetro perde força quando a confiança é terceirizada

Há também um deslocamento importante no modelo defensivo.


Quando túneis como Cloudflare Tunnel ou ngrok são usados para criar canais estáveis de comando e controle, o tráfego passa a atravessar o perímetro com aparência de conexão HTTPS legítima para provedores amplamente confiáveis. Nessa hora, defender por reputação de domínio ou por bloqueio estático já não basta.


O que essa lista de 12 abusos realmente mostra

Mais do que uma coleção de técnicas, essa lista mostra uma mudança de lógica.


O atacante entendeu que, em ambientes cloud, parecer legítimo vale muito. E isso muda a prioridade da defesa.


A pergunta deixa de ser apenas “quais serviços usamos?” e passa a ser “como esses serviços podem ser abusados sem parecer fora do padrão?”. 


O próprio artigo observa que, em ambientes API-driven, quem obtém credenciais ou tokens válidos pode enumerar recursos, extrair dados, escalar privilégios e manter persistência por meio de chamadas administrativas que parecem rotineiras.


O que precisa mudar na defesa

Esse cenário pede menos confiança automática em serviço legítimo e mais atenção ao contexto.


Identidade, permissões, uso de tokens, comportamento de APIs, criação de túneis, movimentação entre tenants, acesso a storage e padrões de exfiltração passam a importar tanto quanto a velha discussão sobre malware e IOC.


No fim, a nuvem não piora a segurança por definição. Mas ela amplia o espaço onde o atacante pode operar sem parecer claramente malicioso.


Na Intgro Tech, a gente acredita que proteger ambientes em nuvem exige menos foco em aparência de legitimidade e mais capacidade de entender contexto, comportamento e uso real dos serviços.

Comentários

bottom of page