Un nouveau ransomware utilise une fonctionnalité d’Amazon AWS pour chiffrer les buckets S3

Un nouveau ransomware utilise une fonctionnalité d'Amazon AWS pour chiffrer les buckets S3
Share on Pinterest Share on LinkedIn

Une nouvelle campagne de ransomware, attribuée à un acteur de menaces connu sous le nom de « Codefinger », a commencé à exploiter la fonction Server-Side Encryption avec des clés fournies par le client (SSE-C) d’Amazon Web Services (AWS) pour chiffrer des données stockées dans des seaux S3. Cette attaque force les victimes à payer une rançon pour obtenir les clés de déchiffrement nécessaires, selon un rapport de Halcyon.

Qu’est-ce que la fonction SSE-C et comment les attaquants l’utilisent-ils ?

Amazon S3 (Simple Storage Service) est un service de stockage dans le cloud largement utilisé par les entreprises pour garder des fichiers, des sauvegardes, des journaux et d’autres données. La fonction SSE-C permet aux clients de gérer leurs propres clés de chiffrement, en utilisant l’algorithme AES-256 pour protéger les données stockées.

Cependant, dans les attaques récentes, les cybercriminels ont exploité des identifiants AWS compromis pour localiser des clés associées avec des permissions de ‘s3:GetObject’ et ‘s3:PutObject’, ce qui leur permet de chiffrer les données stockées dans les seaux S3 en utilisant leurs propres clés de chiffrement générées localement.

Une fois chiffrées, les données deviennent inaccessibles pour les victimes, car AWS ne stocke pas les clés de chiffrement utilisées dans SSE-C. Cela signifie que, même si les victimes signalent une activité non autorisée à AWS, il n’y a aucun moyen de récupérer les données sans la coopération des attaquants.

Méthode de l’attaque

  1. Compromission initiale : Les attaquants obtiennent des identifiants AWS valides avec des permissions spécifiques pour accéder et modifier des données dans les seaux S3.
  2. Chiffrement des données : Ils utilisent SSE-C pour chiffrer les données stockées dans les seaux, générant une clé personnalisée qu’ils seuls possèdent.
  3. Note de rançon : Ils placent des instructions de paiement dans les répertoires affectés, exigeant une rançon en Bitcoin pour fournir la clé nécessaire AES-256 pour le déchiffrement. De plus, ils menacent d’effacer les données si les victimes tentent de changer les permissions ou de modifier les fichiers.
  4. Politique de suppression : Ils configurent une période de suppression automatique de sept jours à l’aide de API de gestion du cycle de vie des objets S3, augmentant ainsi la pression sur les victimes pour payer rapidement.

Recommandations pour se protéger

AWS et Halcyon ont suggéré plusieurs mesures pour prévenir des attaques similaires :

  1. Restreindre l’utilisation de SSE-C : Configurer des politiques qui désactivent la fonction SSE-C pour les seaux S3.
  2. Gestion des clés:
    • Désactiver les clés inutilisées.
    • Effectuer un roulement régulier des clés actives.
    • Mettre en œuvre un contrôle strict des permissions, en les limitant au minimum nécessaire.
  3. Surveillance et notification:
    • Activer les alertes pour détecter l’activité non autorisée.
    • Superviser l’accès aux seaux S3 et réviser les permissions régulièrement.
  4. Éducation et protocoles de sécurité:
    • Former le personnel à reconnaître les tentatives de phishing et à protéger les identifiants d’accès.
    • Implémenter une authentification multi-facteurs (MFA) sur tous les comptes AWS.

Un avertissement pour le futur

L’utilisation de services natifs d’AWS pour mener à bien des attaques sophistiquées comme celle-ci souligne la nécessité d’une gestion robuste de la sécurité dans des environnements cloud. Bien qu’Amazon agisse rapidement pour notifier les clients de compromissions possibles, les utilisateurs doivent jouer un rôle proactif dans l’implémentation de mesures préventives.

L’attaque de « Codefinger » met en évidence les risques de se fier aux configurations par défaut et souligne l’importance d’adopter une posture de sécurité proactive face aux menaces émergentes dans le cloud.

via: Bleeping Computer

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Verrouillage des fournisseurs : le danger invisible dans le cloud et la technologie moderne

Le Japon parie sur la suprématie du supercalcul avec FugakuNEXT et les nouveaux processeurs Fujitsu-MONAKA-X

Le Port d’Imbituba accélère sa transformation digitale avec un nouveau centre de données et plus de 28 millions de reais d’investissements.

L’Arménie parie sur l’intelligence artificielle : elle construira un méga centre de données avec un investissement de 500 millions de dollars.

Latam-GPT : L’Amérique Latine lance son propre modèle ouvert d’intelligence artificielle pour la région

Sophos lance Emergency Incident Response : réponse complète et experte face aux cyberattaques, en collaboration avec Secureworks

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.