Μια νέα καμπάνια ransomware κρυπτογραφεί τους κάδους Amazon S3 χρησιμοποιώντας την κρυπτογράφηση από την πλευρά του διακομιστή της AWS με κλειδιά που παρέχονται από τον πελάτη (SSE-C) που είναι γνωστά μόνο στον παράγοντα απειλής, απαιτώντας λύτρα για τη λήψη του κλειδιού αποκρυπτογράφησης.
Η εκστρατεία ήταν ανακαλύφθηκε από τον Χαλκυώναο οποίος ανέφερε ότι ένας ηθοποιός απειλών με το όνομα “Codefinger” είχε κρυπτογραφήσει τουλάχιστον δύο θύματα. Ωστόσο, η επιχείρηση θα μπορούσε να κλιμακωθεί ή η τακτική θα μπορούσε να υιοθετηθεί σύντομα από περισσότερους παράγοντες απειλών.
Κρυπτογράφηση αποθήκευσης cloud
Η υπηρεσία Amazon Simple Storage Service (S3) είναι μια επεκτάσιμη, ασφαλής και υψηλής ταχύτητας υπηρεσία αποθήκευσης αντικειμένων από την Amazon Web Services (AWS) και οι κάδοι S3 είναι δοχεία αποθήκευσης στο cloud για την αποθήκευση αρχείων, αντιγράφων ασφαλείας δεδομένων, πολυμέσων, αρχείων καταγραφής κ.λπ.
SSE-C είναι μια επιλογή κρυπτογράφησης για την ασφάλεια των δεδομένων S3 σε κατάσταση ηρεμίας, επιτρέποντας στους πελάτες να χρησιμοποιούν το δικό τους κλειδί κρυπτογράφησης για την κρυπτογράφηση και την αποκρυπτογράφηση των δεδομένων τους χρησιμοποιώντας τον αλγόριθμο AES-256. Το AWS δεν αποθηκεύει το κλειδί και οι πελάτες είναι υπεύθυνοι για τη δημιουργία του κλειδιού, τη διαχείριση και την ασφάλειά του.
Στις επιθέσεις του Codefinger, οι φορείς απειλών χρησιμοποίησαν διαπιστευτήρια AWS για να εντοπίσουν τα κλειδιά του θύματος με προνόμια ‘s3:GetObject’ και ‘s3:PutObject’, τα οποία επιτρέπουν σε αυτούς τους λογαριασμούς να κρυπτογραφούν αντικείμενα σε κάδους S3 μέσω SSE-C.
Στη συνέχεια, ο εισβολέας δημιουργεί ένα κλειδί κρυπτογράφησης τοπικά για να κρυπτογραφήσει τα δεδομένα του στόχου.
Δεδομένου ότι το AWS δεν αποθηκεύει αυτά τα κλειδιά κρυπτογράφησης, η ανάκτηση δεδομένων χωρίς το κλειδί του εισβολέα είναι αδύνατη, ακόμη και αν το θύμα αναφέρει μη εξουσιοδοτημένη δραστηριότητα στην Amazon.
«Χρησιμοποιώντας τις εγγενείς υπηρεσίες AWS, επιτυγχάνουν κρυπτογράφηση με τρόπο που είναι ασφαλής και μη ανακτήσιμος χωρίς τη συνεργασία τους», εξηγεί η Halcyon.
Στη συνέχεια, ο εισβολέας ορίζει μια πολιτική διαγραφής αρχείων επτά ημερών χρησιμοποιώντας το S3 Object Lifecycle Management API και ρίχνει σημειώσεις λύτρων σε όλους τους καταλόγους που επηρεάζονται που καθοδηγούν το θύμα να πληρώσει λύτρα σε μια δεδομένη διεύθυνση Bitcoin σε αντάλλαγμα για το προσαρμοσμένο κλειδί AES-256.
Τα λύτρα προειδοποιούν επίσης το θύμα ότι εάν επιχειρήσει να αλλάξει τα δικαιώματα λογαριασμού ή να τροποποιήσει αρχεία στον κάδο, οι εισβολείς θα τερματίσουν μονομερώς τις διαπραγματεύσεις, αφήνοντας το θύμα χωρίς τρόπο να ανακτήσει τα δεδομένα του.
Άμυνα ενάντια στον Codefinger
Η Halcyon ανέφερε τα ευρήματά της στην Amazon και ο πάροχος υπηρεσιών cloud τους είπε ότι κάνουν ό,τι καλύτερο μπορούν για να ειδοποιήσουν αμέσως τους πελάτες που έχουν εκτεθεί τα κλειδιά τους, ώστε να μπορούν να λάβουν άμεσα μέτρα.
Η Amazon ενθαρρύνει επίσης τους ανθρώπους να εφαρμόζουν αυστηρά πρωτόκολλα ασφαλείας και ακολουθήστε αυτά τα βήματα για γρήγορη επίλυση προβλημάτων μη εξουσιοδοτημένης δραστηριότητας λογαριασμού AWS.
Η Halcyon προτείνει επίσης ότι οι πελάτες AWS ορίζουν περιοριστικές πολιτικές που εμποδίζουν τη χρήση του SSE-C στους κάδους S3 τους.
Όσον αφορά τα κλειδιά AWS, τα αχρησιμοποίητα κλειδιά θα πρέπει να απενεργοποιούνται, τα ενεργά θα πρέπει να εναλλάσσονται συχνά και οι άδειες λογαριασμού θα πρέπει να διατηρούνται στο ελάχιστο απαιτούμενο επίπεδο.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
