Μια νέα καμπάνια ransomware κρυπτογραφεί τα Amazon S3 buckets χρησιμοποιώντας το Server-Side Encryption του AWS με Customer Provided Keys (SSE-C) που είναι γνωστά μόνο στον παράγοντα απειλής, απαιτώντας λύτρα για τη λήψη του κλειδιού αποκρυπτογράφησης.
Δείτε επίσης: AWS Security Incident Response: Μια υπηρεσία για την αντιμετώπιση κυβερνοεπιθέσεων

Η εκστρατεία ανακαλύφθηκε από την Halcyon, η οποία ανέφερε ότι ένας κακόβουλος παράγοντας γνωστός ως “Codefinger” είχε κρυπτογραφήσει τουλάχιστον δύο θύματα. Ωστόσο, η επιχείρηση θα μπορούσε να κλιμακωθεί ή η τακτική θα μπορούσε να υιοθετηθεί σύντομα από περισσότερους χάκερ.
Η υπηρεσία Amazon Simple Storage Service (S3) είναι μια επεκτάσιμη, ασφαλής και υψηλής ταχύτητας υπηρεσία αποθήκευσης αντικειμένων από την Amazon Web Services (AWS) και τα S3 buckets είναι δοχεία αποθήκευσης cloud για την αποθήκευση αρχείων, αντιγράφων ασφαλείας δεδομένων, πολυμέσων, αρχείων καταγραφής κ.λπ.
Το SSE-C είναι μια επιλογή κρυπτογράφησης για την ασφάλεια των δεδομένων S3 σε κατάσταση ηρεμίας, επιτρέποντας στους πελάτες να χρησιμοποιούν το δικό τους κλειδί κρυπτογράφησης για την κρυπτογράφηση και την αποκρυπτογράφηση των δεδομένων τους, χρησιμοποιώντας τον αλγόριθμο AES-256. Το AWS δεν αποθηκεύει το κλειδί και οι πελάτες είναι υπεύθυνοι για τη δημιουργία του κλειδιού, τη διαχείριση και την ασφάλειά του.
Στις επιθέσεις ransomware του Codefinger, οι φορείς απειλών χρησιμοποίησαν διαπιστευτήρια AWS για να εντοπίσουν τα κλειδιά του θύματος με προνόμια ‘s3:GetObject‘ και ‘s3:PutObject‘, τα οποία επιτρέπουν σε αυτούς τους λογαριασμούς να κρυπτογραφούν αντικείμενα σε S3 buckets μέσω SSE-C. Στη συνέχεια, ο εισβολέας δημιουργεί ένα κλειδί κρυπτογράφησης τοπικά για να κρυπτογραφήσει τα δεδομένα του στόχου.
Δείτε ακόμα: Amazon AWS: Επενδύσεις € 1,2 δισ. σε κέντρα δεδομένων στην Ιταλία
Δεδομένου ότι το AWS δεν αποθηκεύει αυτά τα κλειδιά κρυπτογράφησης, η ανάκτηση δεδομένων χωρίς το κλειδί του εισβολέα είναι αδύνατη, ακόμη και αν το θύμα αναφέρει μη εξουσιοδοτημένη δραστηριότητα στην Amazon.

Στη συνέχεια, ο εισβολέας ορίζει μια πολιτική διαγραφής αρχείων επτά ημερών χρησιμοποιώντας το S3 Object Lifecycle Management API και στέλνει σημειώματα λύτρων σε όλους τους καταλόγους που επηρεάζονται, τα οποία καθοδηγούν το θύμα να πληρώσει λύτρα σε μια δεδομένη διεύθυνση Bitcoin σε αντάλλαγμα για το προσαρμοσμένο κλειδί AES-256. Τα λύτρα προειδοποιούν επίσης το θύμα ότι εάν επιχειρήσει να αλλάξει τα δικαιώματα λογαριασμού ή να τροποποιήσει αρχεία στο bucket, οι εισβολείς θα τερματίσουν μονομερώς τις διαπραγματεύσεις, αφήνοντας το θύμα χωρίς τρόπο να ανακτήσει τα δεδομένα του.
Η Halcyon ανέφερε τα ευρήματά της στην Amazon και ο πάροχος υπηρεσιών cloud τους είπε ότι κάνουν ό,τι καλύτερο μπορούν για να ειδοποιήσουν άμεσα τους πελάτες που έχουν εκτεθεί τα κλειδιά τους, ώστε να μπορούν να λάβουν άμεσα μέτρα. Η Halcyon προτείνει επίσης στους πελάτες AWS να ορίζουν περιοριστικές πολιτικές που εμποδίζουν τη χρήση του SSE-C στα S3 buckets τους για την προστασία από επιθέσεις ransomware.
Η Amazon ενθαρρύνει επίσης τους ανθρώπους να εφαρμόζουν αυστηρά πρωτόκολλα ασφαλείας και να ακολουθούν αυτά τα βήματα για να επιλύσουν γρήγορα ζητήματα μη εξουσιοδοτημένης δραστηριότητας λογαριασμού AWS. Όσον αφορά τα κλειδιά AWS, τα αχρησιμοποίητα κλειδιά θα πρέπει να απενεργοποιούνται, τα ενεργά θα πρέπει να εναλλάσσονται συχνά και οι άδειες λογαριασμού θα πρέπει να διατηρούνται στο ελάχιστο απαιτούμενο επίπεδο.
Δείτε επίσης: AWS: Εισάγει passkeys και κάνει το MFA υποχρεωτικό σε root users
Οι καμπάνιες Ransomware αποτελούν μία από τις πλέον επιθετικές μορφές ηλεκτρονικού εγκλήματος στις μέρες μας. Οι επιθέσεις αυτές περιλαμβάνουν κακόβουλο λογισμικό που κλειδώνει ή κρυπτογραφεί αρχεία και δεδομένα σε συστήματα, απαιτώντας λύτρα για την αποκατάστασή τους. Οι δράστες συχνά στοχεύουν επιχειρήσεις, κυβερνητικούς οργανισμούς ή ακόμη και μεμονωμένα άτομα, εκμεταλλευόμενοι ευπάθειες ασφαλείας ή τυχαία λάθη χρηστών. Οι τεχνικές που χρησιμοποιούνται για τη διεξαγωγή τέτοιων καμπανιών εξελίσσονται συνεχώς, καθιστώντας την αντιμετώπισή τους ιδιαίτερα δύσκολη. Η πρόληψη μέσω ενημερωμένου λογισμικού, επαγρύπνησης και εκπαιδευμένων χρηστών αποτελεί το κλειδί για τον περιορισμό του φαινομένου.
Πηγή: bleepingcomputer