Киберпреступники используют уязвимые ключи AWS для шантажа
- Злоумышленники получают доступ к хранилищам через уязвимые ключи AWS
- Файлы шифруются и помечаются для удаления через неделю
- Halycon заявляет, что по меньшей мере две жертвы подверглись этой атаке
Киберпреступники начали использовать легальные функции AWS S3, чтобы шифровать хранилища жертв, создав новый поворот в классической атаке с применением вымогательского ПО.
Исследователи из компании Halycon недавно заметили, что несколько жертв, разработчиков программного обеспечения, работающих в AWS, подверглись подобным атакам. В этой схеме группа, получившая название Codefinger, получала доступ к облачным хранилищам своих жертв через открытые или скомпрометированные ключи AWS, имеющие права на чтение и запись.
Получив доступ к хранилищам, злоумышленники применяли серверное шифрование AWS с ключами, предоставляемыми клиентами, для блокировки файлов.
Пометка файлов для удаления
Однако на этом фантазия Codefinger не заканчивается. Группа не угрожает опубликовать или удалить файлы. Вместо этого она помечает все зашифрованные файлы для удаления через неделю, также используя встроенные возможности AWS S3.
В разговоре с изданием The Register, вице-президент службы Halcyon RISE Team, Тим Вест, назвал это первым случаем злоупотребления встроенной инфраструктурой безопасности AWS через SSE-C.
«Исторически ключи идентификации AWS утрачивались и использовались для кражи данных, но если этот метод получит широкое распространение, это может создать значительный системный риск для организаций, полагающихся на AWS S3 для хранения критически важных данных,» отметил Вест.
«Это уникально, поскольку большинство операторов и партнеров вымогательского ПО не занимается прямым уничтожением данных в рамках схемы двойного вымогательства или для оказания давления на жертву с целью выплаты выкупа,» добавил он. «Уничтожение данных представляет дополнительный риск для целевых организаций.»
Halycon решила не раскрывать имена жертв, вместо этого призывая клиентов AWS ограничить использование SSE-C.
Amazon, со своей стороны, заявила, что предпринимает все возможное при обнаружении уязвимых ключей и настоятельно рекомендует пользователям соблюдать передовые практики в области кибербезопасности.
Источник: TechRadar
