Uma nova campanha de ransomware criptografa Amazon S3 buckets utilizando a Criptografia do Lado do Servidor da AWS com Chaves Fornecidas pelo Cliente (SSE-C) conhecidas apenas pelo ator de ameaça, exigindo resgates para receber a chave de descriptografia.
A campanha foi descoberta pela Halcyon, que informou que um ator de ameaça chamado "Codefinger" criptografou pelo menos duas vítimas.
No entanto, a operação pode escalar ou a tática pode ser adotada por mais atores de ameaça em breve.
O Amazon Simple Storage Service (S3) é um serviço de armazenamento de objetos escalável, seguro e de alta velocidade oferecido pelo Amazon Web Services (AWS), e os S3 buckets são contêineres de armazenamento em nuvem para armazenar arquivos, backups de dados, mídia, logs, etc.
O SSE-C é uma opção de criptografia para proteger os dados do S3 em repouso, permitindo que os clientes usem sua própria chave de criptografia para criptografar e descriptografar seus dados usando o algoritmo AES-256.
A AWS não armazena a chave, e os clientes são responsáveis por gerar, gerenciar e proteger a chave.
Nos ataques do Codefinger, os atores de ameaça usaram credenciais AWS comprometidas para localizar chaves de vítimas com privilégios 's3:GetObject' e 's3:PutObject', que permitem que essas contas criptografem objetos nos S3 buckets por meio do SSE-C.
O atacante então gera uma chave de criptografia localmente para criptografar os dados do alvo.
Uma vez que a AWS não armazena essas chaves de criptografia, a recuperação de dados sem a chave do atacante é impossível, mesmo que a vítima denuncie atividade não autorizada à Amazon.
"Utilizando serviços nativos da AWS, eles alcançam a criptografia de uma maneira que é segura e irrecuperável sem a cooperação deles", explica a Halcyon.
Em seguida, o atacante estabelece uma política de exclusão de arquivos de sete dias usando a API do S3 Object Lifecycle Management e deixa notas de resgate em todos os diretórios afetados instruindo a vítima a pagar um resgate em um dado endereço Bitcoin em troca da chave customizada AES-256.
O resgate também alerta a vítima de que, se tentarem mudar as permissões da conta ou modificar arquivos no bucket, os atacantes terminarão unilateralmente as negociações, deixando a vítima sem maneira de recuperar seus dados.
A Halcyon reportou suas descobertas à Amazon, e o provedor de serviços em nuvem informou que fazem o melhor para notificar prontamente os clientes que tiveram suas chaves expostas para que possam tomar ações imediatas.
A Amazon também incentiva as pessoas a implementarem protocolos de segurança rigorosos e a seguir estas etapas para resolver rapidamente questões de atividades não autorizadas na conta AWS.
A Halcyon também sugere que clientes da AWS definam políticas restritivas que impeçam o uso de SSE-C em seus S3 buckets.
Quanto às chaves da AWS, chaves não usadas devem ser desativadas, as ativas devem ser rotacionadas frequentemente, e as permissões de conta devem ser mantidas no nível mínimo requerido.
A declaração completa da Amazon em resposta à atividade do Codefinger é:
"A AWS ajuda os clientes a proteger seus recursos em nuvem através de um modelo de responsabilidade compartilhada.
Sempre que a AWS é informada sobre chaves expostas, notificamos os clientes afetados.
Também investigamos minuciosamente todos os relatórios de chaves expostas e tomamos rapidamente quaisquer ações necessárias, como aplicar políticas de quarentena para minimizar riscos para os clientes sem interromper seu ambiente de TI.
Encorajamos todos os clientes a seguir as melhores práticas de segurança, identidade e conformidade.
No evento em que um cliente suspeita que pode ter exposto suas credenciais, eles podem começar seguindo os passos listados neste post.
Como sempre, os clientes podem contatar o suporte da AWS com quaisquer questões ou preocupações sobre a segurança de sua conta.
A AWS fornece um conjunto rico de capacidades que eliminam a necessidade de armazenar credenciais em código-fonte ou em arquivos de configuração.
As IAM Roles permitem que aplicações façam requisições de API assinadas de forma segura a partir de instâncias EC2, contêineres ECS ou EKS, ou funções Lambda usando credenciais de curto prazo que são automaticamente implantadas, rotacionadas frequentemente, requerendo zero gestão por parte do cliente.
Até nós de computação fora da nuvem AWS podem fazer chamadas autenticadas sem credenciais AWS de longo prazo usando o recurso Roles Anywhere.
Estações de trabalho de desenvolvedores usam o Identity Center para obter credenciais de curto prazo respaldadas por suas identidades de usuário de longo prazo protegidas por tokens MFA.
Todas essas tecnologias confiam no AWS Security Token Service (AWS STS) para emitir credenciais de segurança temporárias que podem controlar o acesso a seus recursos AWS sem distribuir ou embutir credenciais de segurança AWS de longo prazo dentro de uma aplicação, seja em código ou arquivos de configuração.
Até o acesso seguro a tecnologias não AWS pode ser protegido usando o serviço AWS Secrets Manager.
O propósito desse serviço é criar, gerenciar, recuperar e rotacionar automaticamente credenciais não AWS como nomes de usuário e senhas de banco de dados, chaves de API não AWS e outros segredos durante seus ciclos de vida," disse um porta-voz da Amazon
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...