- Los atacantes acceden a depósitos de almacenamiento con claves de AWS expuestas
- Luego, los archivos se cifran y se programa su eliminación después de una semana.
- Halycon dice haber visto al menos dos víctimas atacadas de esta manera
Los ciberdelincuentes han comenzado a explotar características legítimas de AWS S3 para cifrar los depósitos de las víctimas en un giro único al antiguo ataque de ransomware.
Los investigadores de Helicon observaron recientemente que varias víctimas, todas ellas desarrolladores de software locales de AWS, fueron atacadas de esta manera. En el ataque, el grupo, denominado Codefinger, accedió a los depósitos de almacenamiento en la nube de sus víctimas utilizando claves de AWS divulgadas públicamente o comprometidas de otro modo con permisos de lectura y escritura.
Una vez que se accede a los depósitos, utilizarán el cifrado del lado del servidor de AWS con claves proporcionadas por el cliente (SSE-C) para bloquear los archivos.
Marcar archivos para eliminarlos
Pero ahí no es donde termina la creatividad con Codefinger. El grupo no amenaza con hacer públicos los archivos ni con eliminarlos. En su lugar, marca todos los archivos cifrados para su eliminación en el plazo de una semana, y también utiliza funciones nativas de AWS S3.
hablando con la recetaEl vicepresidente de servicios del equipo de Halcyon RISE, Tim West, dijo que esta es la primera vez que alguien abusa de la infraestructura de cifrado segura nativa de AWS utilizando SSE-C.
“Históricamente, las claves de AWS Identity IAM se han filtrado y utilizado para robar datos, pero si este enfoque logra una adopción generalizada, podría representar un riesgo sistémico significativo para las organizaciones que dependen de AWS S3 para almacenar datos críticos”, dijo a la publicación.
“Es único en el sentido de que la mayoría de los operadores de ransomware y atacantes afiliados no participan en la destrucción directa de datos como parte de un esquema de doble extorsión o para presionar a la víctima para que pague la demanda de rescate”, dijo West. “La destrucción de datos representa un riesgo adicional para las organizaciones objetivo”.
Halcyon no quiso nombrar a las víctimas y, en cambio, instó a los clientes de AWS a limitar el uso de SSE-C.
Amazon, sin embargo, dijo la receta Hace lo que puede cada vez que detecta claves expuestas e insta a los clientes a seguir las mejores prácticas en materia de ciberseguridad.
