Codefinger: хакеры обратили защиту AWS против пользователей

Amazon Amazon S3 SSE-C Codefinger вымогательское ПО
Codefinger: хакеры обратили защиту AWS против пользователей
Amazon Amazon S3 SSE-C Codefinger вымогательское ПО

Технологии безопасности AWS стали инструментом шантажа.

image

В ходе новой вымогательской кампании Codefinger хакеры атакуют облачные хранилища Amazon S3, используя встроенное шифрование AWS с ключами SSE-C. Злоумышленники шифруют данные, а затем требуют выкуп за предоставление ключа дешифровки.

Вредоносная операция обнаружена исследовательской группой Halcyon, которая подтвердила как минимум 2 случая успешной атаки. Эксперты предупреждают, что метод может быть использован другими киберпреступниками.

Amazon S3 предоставляет облачное хранилище для данных, где пользователи могут использовать опцию SSE-C для обеспечения безопасности. Метод предполагает использование клиентских ключей шифрования с использованием алгоритма AES-256, которые AWS не хранит. Ответственность за управление и защиту ключей полностью лежит на клиентах.

В атаках Codefinger используется доступ к скомпрометированным учетным данным AWS с привилегиями 's3:GetObject' и 's3:PutObject'. Злоумышленники генерируют собственные ключи для шифрования данных, что делает восстановление файлов невозможным без их участия. AWS, не имея доступа к ключам, не может помочь в расшифровке.

После шифрования преступники устанавливают автоудаление данных через 7 дней и оставляют записки с требованием выкупа в директориях, требуя оплату в биткоинах. При этом любые попытки изменить настройки учетной записи или файлы могут привести к прекращению переговоров со стороны преступников.

Halcyon проинформировала Amazon о ситуации. В ответ AWS подчеркнула важность строгих мер безопасности, таких как ограничение использования SSE-C, отключение неиспользуемых ключей, регулярная ротация ключей и минимизация доступа.

Компания напомнила о своей модели разделённой ответственности за безопасность и перечислила меры, которые клиенты могут использовать для защиты учетных записей. Среди них — временные учетные данные, управление доступом через IAM Roles и использование AWS Secrets Manager для хранения и автоматической ротации ключей.

Halcyon рекомендует организациям пересмотреть политики доступа к Amazon S3 и внедрить дополнительные меры защиты для предотвращения подобных инцидентов.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!