Codefinger ransomware
A Halcyon RISE csapata egy új ransomware kampányt azonosított, amely az Amazon Web Services (AWS) S3 tárolóit célozza meg.
A támadók az AWS által biztosított Server-Side Encryption with Customer Provided Keys (SSE-C) funkciót használják fel a S3 tárolókban lévő adatok titkosítására. Ez a módszer lehetővé teszi számukra, hogy az adatokat olyan módon titkosítsák, amelyhez csak az általuk generált kulcsokkal lehet hozzáférni.
Az AWS CloudTrail naplók csak a titkosítási kulcs HMAC-ját (hash-alapú üzenethitelesítési kódját) rögzítik, ami nem elegendő a kulcs rekonstruálásához vagy az adatok visszafejtéséhez. Ennek eredményeként, ha a titkosítási kulcs nincs meg, az adatok helyreállítása gyakorlatilag lehetetlen.
A támadók hét napos határidőt szabnak az adatok törlésére, hogy nyomást gyakoroljanak az áldozatokra a váltságdíj kifizetése érdekében. A zsaroló üzenetek tartalmazzák a fizetési információkat és figyelmeztetnek az AWS fiók jogosultságainak módosítása ellen.
A támadók nyilvánosan hozzáférhető vagy kompromittált AWS kulcsokat keresnek, amelyek rendelkeznek az s3:GetObject és s3:PutObject műveletek végrehajtásához szükséges jogosultságokkal. A támadók az x-amz-server-side-encryption-customer-algorithm fejléc segítségével saját maguk által generált AES-256 titkosítási kulcsot alkalmaznak a fájlok titkosítására. Az AWS a titkosítás során feldolgozza a kulcsot, de nem tárolja azt; csak a HMAC kerül rögzítésre a CloudTrail naplókban. A támadók beállítják a fájlok automatikus törlését hét nap elteltével, hogy növeljék a nyomást az áldozatokon a váltságdíj kifizetésére.
Ez a támadási módszer felhívja a figyelmet, hogy a felhőszolgáltatások natív funkcióit is felhasználhatják rosszindulatú célokra, ezért elengedhetetlen a megfelelő biztonsági intézkedések alkalmazása és a hozzáférések szigorú ellenőrzése.