15/01/25
.jpg?width=360&height=193&name=download%20(81).jpg)
В ходе новой вымогательской кампании Codefinger хакеры атакуют облачные хранилища Amazon S3, используя встроенное шифрование AWS с ключами SSE-C. Злоумышленники шифруют данные, а затем требуют выкуп за предоставление ключа дешифровки. Об этом передаёт Securitylab.
Вредоносная операция обнаружена исследовательской группой Halcyon, которая подтвердила как минимум 2 случая успешной атаки. Эксперты предупреждают, что метод может быть использован другими киберпреступниками.
Amazon S3 предоставляет облачное хранилище для данных, где пользователи могут использовать опцию SSE-C для обеспечения безопасности. Метод предполагает использование клиентских ключей шифрования с использованием алгоритма AES-256, которые AWS не хранит. Ответственность за управление и защиту ключей полностью лежит на клиентах.
В атаках Codefinger используется доступ к скомпрометированным учетным данным AWS с привилегиями 's3:GetObject' и 's3:PutObject'. Злоумышленники генерируют собственные ключи для шифрования данных, что делает восстановление файлов невозможным без их участия. AWS, не имея доступа к ключам, не может помочь в расшифровке.
После шифрования преступники устанавливают автоудаление данных через 7 дней и оставляют записки с требованием выкупа в директориях, требуя оплату в биткоинах. При этом любые попытки изменить настройки учетной записи или файлы могут привести к прекращению переговоров со стороны преступников.
Halcyon проинформировала Amazon о ситуации. В ответ AWS подчеркнула важность строгих мер безопасности, таких как ограничение использования SSE-C, отключение неиспользуемых ключей, регулярная ротация ключей и минимизация доступа.
Компания напомнила о своей модели разделённой ответственности за безопасность и перечислила меры, которые клиенты могут использовать для защиты учетных записей. Среди них — временные учетные данные, управление доступом через IAM Roles и использование AWS Secrets Manager для хранения и автоматической ротации ключей.
