A equipe de pesquisa e inteligência da Halcyon divulgou um alerta sobre um novo tipo de ransomware que foi classificado como "impossível" de descriptografar.
O foco desta campanha maliciosa são os usuários dos serviços do Amazon Web Services (AWS).
Ao contrário de ransomwares tradicionais, que encriptam arquivos locais ou em transferência, este novo ataque utiliza a infraestrutura de criptografia do AWS (SSE-C) para bloquear os dados utilizando chaves simétricas AES-256.
Isso torna a descriptografia do conteúdo extremamente difícil, ou mesmo impossível, sem a posse da chave do atacante, conforme explicado pelos especialistas.
Além disso, foi divulgada uma preocupação com ransomwares baseados em IA que, em apenas um mês, afetaram mais de 80 vítimas, incluindo algumas no Brasil.
Este novo método não explora vulnerabilidades na AWS, mas sim se beneficia do acesso a contas de usuários por meio de credenciais fracas ou previamente comprometidas.
O ataque, denominado Codefinger, utiliza-se de senhas fracas ou já expostas para acessar e criptografar arquivos das vítimas.
Darren James, gerente de produto sênior da Specops Software, em entrevista à Forbes, destacou que este cenário é um exemplo claro dos riscos associados à reutilização de senhas, escolha de senhas fracas, ou ausência de autenticação de dois fatores.
O ransomware Codefinger, conforme relatado pela primeira vez pelos especialistas da Halcyon na última segunda-feira (13), representa uma potencial ameaça sistêmica para organizações que dependem do AWS S3 para armazenar dados críticos.
O processo de ataque do Codefinger é detalhado da seguinte forma:
1.
Identificação de chaves AWS publicamente acessíveis ou previamente expostas;
2.
Utilização do SSE-C com uma chave AES-256 gerada e armazenada localmente para criptografar os arquivos;
3.
Configuração de políticas para exclusão automática de arquivos, normalmente após um período de 7 dias, através do S3 Object Lifecycle Management;
4.
Adição de uma nota em cada diretório afetado sinalizando que qualquer tentativa de alterar permissões ou arquivos resultará no encerramento das negociações.
Um porta-voz da Amazon declarou à Forbes que a companhia trabalha proativamente para ajudar seus clientes a proteger seus recursos na nuvem, adotando um modelo de responsabilidade compartilhada.
Isso inclui alertas sobre exposição de chaves de acesso e a promessa de investigar qualquer denúncia de chaves expostas, além de tomar ações corretivas rápidas.
A empresa ainda recomenda que todos os usuários sigam as melhores práticas de segurança, identificação e compliance.
Também foi mencionado que o Brasil sofreu ataques por uma variante do vírus Medusa, intitulada 'BabyLockerKZ'.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...