.
Uma nova equipe de ransomware chamada Codefinger tem como alvo os buckets AWS S3 e usa a própria criptografia do lado do servidor do gigante da nuvem com chaves fornecidas pelo cliente (SSE-C) para bloquear os dados das vítimas antes de exigir um pagamento de resgate pelas chaves simétricas AES-256 necessárias para descriptografar isto.
Os caçadores de ameaças da Halcyon dizem que detectaram essa gangue criminosa pela primeira vez em dezembro e, nas últimas semanas, observaram dois desses ataques de ransomware contra seus clientes, ambos desenvolvedores de software nativo da AWS.
Codefinger invade buckets de armazenamento em nuvem das organizações vítimas usando chaves AWS expostas publicamente ou comprometidas com permissões de gravação e leitura para executar “s3:GetObject” e “s3:PutObject“pedidos.
E embora outros pesquisadores de segurança tenham documentado técnicas para criptografar buckets S3, “este é o primeiro caso que conhecemos de aproveitamento da infraestrutura de criptografia segura nativa da AWS via SSE-C em estado selvagem”, disse Tim West, vice-presidente de serviços da equipe Halcyon RISE. O Registro.
“Historicamente, as chaves IAM do AWS Identity são vazadas e usadas para roubo de dados, mas se essa abordagem for amplamente adotada, poderá representar um risco sistêmico significativo para organizações que dependem do AWS S3 para o armazenamento de dados críticos”, alertou.
Depois de abusar das chaves comprometidas, os malfeitores chamam o “x-amz-server-side-encryption-customer-algorithm” e usam uma chave de criptografia AES-256 armazenada localmente que eles geram para bloquear os arquivos das vítimas.
Como a AWS processa a chave durante a criptografia, mas não a armazena, a vítima não pode descriptografar seus dados sem a chave gerada pelo invasor.
Além disso, além de criptografar os dados, o Codefinder marca os arquivos comprometidos para exclusão dentro de sete dias usando a API S3 Object Lifecycle Management – os próprios criminosos não ameaçam vazar ou vender os dados, fomos informados.
“Isso é único porque a maioria dos operadores de ransomware e atacantes afiliados não se envolvem na destruição direta de dados como parte de um esquema de dupla extorsão ou para pressionar a vítima a pagar o pedido de resgate”, disse West. “A destruição de dados representa um risco adicional para as organizações visadas.”
Codefinger também deixa uma nota de resgate em cada diretório afetado que inclui o endereço Bitcoin do invasor e um ID de cliente associado aos dados criptografados. “A nota alerta que alterações nas permissões de contas ou arquivos encerrarão as negociações”, disseram os pesquisadores da Halcyon em um relatório sobre ataques de bucket S3 compartilhado com O Registro.
Embora West tenha se recusado a nomear ou fornecer quaisquer detalhes adicionais sobre as duas vítimas do Codefinger – incluindo se elas pagaram os pedidos de resgate – ele sugere que os clientes da AWS restrinjam o uso de SSE-C.
“Isso pode ser alcançado aproveitando o elemento Condition nas políticas IAM para evitar aplicações não autorizadas de SSE-C em buckets S3, garantindo que apenas dados e usuários aprovados possam utilizar esse recurso”, explicou ele.
Além disso, é importante monitorar e auditar regularmente as chaves da AWS, pois elas são alvos muito atraentes para todos os tipos de criminosos que desejam invadir os ambientes de nuvem das empresas e roubar dados.
“As permissões devem ser revisadas frequentemente para confirmar que estão alinhadas com o princípio do menor privilégio, enquanto as chaves não utilizadas devem ser desativadas e as ativas devem ser alternadas regularmente para minimizar a exposição”, disse West.
AWS pesa
Quando questionado sobre as infecções por ransomware, um porta-voz da AWS disse O Registro que sempre que o gigante da nuvem tiver conhecimento das chaves expostas, notificará os clientes afetados e “tomará rapidamente todas as ações necessárias, como aplicar políticas de quarentena para minimizar os riscos para os clientes sem interromper seu ambiente de TI”.
O porta-voz também direcionou os usuários a esta postagem sobre o que fazer ao perceber atividades não autorizadas e incentivou os clientes a seguirem as melhores práticas relacionadas à segurança, identificação e conformidade – especialmente no que se refere ao modelo de responsabilidade compartilhada de segurança na nuvem.
“A AWS fornece um rico conjunto de recursos que eliminam a necessidade de armazenar credenciais no código-fonte ou em arquivos de configuração”, disse-nos o porta-voz. “As funções IAM permitem que os aplicativos façam solicitações de API assinadas com segurança a partir de instâncias EC2, contêineres ECS ou EKS ou funções Lambda usando credenciais de curto prazo que são implantadas automaticamente, alternadas com frequência, sem exigir gerenciamento de clientes.”
Esses recursos também incluem permitir que nós de computação fora da AWS façam chamadas autenticadas sem credenciais de longo prazo da AWS usando o recurso Roles Anywhere. Além disso, as estações de trabalho de desenvolvedores que usam o AWS Identity Center podem obter credenciais de curto prazo protegidas por tokens de autenticação multifator.
“Todas essas tecnologias dependem do AWS Security Token Service (AWS STS) para emitir credenciais de segurança temporárias que podem controlar o acesso aos seus recursos AWS sem distribuir ou incorporar credenciais de segurança AWS de longo prazo em um aplicativo, seja em código ou arquivos de configuração”, disse o porta-voz. ®
.
