AWS: nuovo ransomware crittografa bucket Amazon S3

Una nuova campagna di ransomware sta colpendo i bucket Amazon S3, utilizzando la crittografia lato server di AWS con chiavi fornite dal cliente (SSE-C), note solo agli attori delle minacce. Gli hacker chiedono poi un riscatto per fornire la chiave necessaria a decrittografare i dati. La campagna è stata scoperta da Halcyon, che ha segnalato che un hacker chiamato "Codefinger" ha già colpito almeno due vittime. Tuttavia, l'operazione potrebbe espandersi o questa tattica potrebbe essere adottata da altri gruppi di criminali informatici in futuro.

Amazon Simple Storage Service (S3) è un servizio di archiviazione a oggetti scalabile, sicuro e ad alta velocità offerto da Amazon Web Services (AWS). I bucket S3 sono contenitori nel cloud utilizzati per archiviare file, backup, dati, media, registri, ecc. SSE-C è un'opzione di crittografia che protegge i dati archiviati nei bucket S3. Questa consente ai clienti di utilizzare una propria chiave di crittografia per proteggere e accedere ai dati, utilizzando l'algoritmo AES-256. AWS non memorizza questa chiave. Spetta infatti ai clienti generarla, gestirla e mantenerla al sicuro. Negli attacchi condotti da "Codefinger", i criminali informatici hanno utilizzato credenziali AWS compromesse per trovare chiavi delle vittime con i permessi s3:GetObject e s3:PutObject. Questi permessi consentono di crittografare gli oggetti nei bucket S3 tramite SSE-C, permettendo agli attori delle minacce di prendere il controllo dei dati crittografandoli con chiavi note solo a loro.

AWS: come avviene l’attacco ai bucket Amazon S3

Durante l’attacco, l’hacker genera localmente una chiave di crittografia per cifrare i dati della vittima. Poiché AWS non memorizza queste chiavi di crittografia, il recupero dei dati è impossibile senza la chiave in possesso dell’hacker, anche se la vittima segnala ad Amazon l'attività non autorizzata. Come spiegato da Halcoyin: "utilizzando i servizi nativi di AWS, riescono a cifrare i dati in modo sicuro e irreversibile senza la loro collaborazione". Successivamente, l l'aggressore imposta una politica di eliminazione dei file di sette giorni utilizzando l'API S3 Object Lifecycle Management.

In seguito, rilascia richieste di riscatto su tutte le directory interessate, in cui si chiede alla vittima di pagare un riscatto su un dato indirizzo Bitcoin in cambio della chiave AES-256 personalizzata. Inoltre, nella richiesta di riscatto si avverte la vittima che, se tenta di modificare i permessi dell'account o di intervenire sui file nel bucket, gli hacker interromperanno unilateralmente le negoziazioni. In questo modo la vittima non potrà più recuperare i dati.

Halcyon ha segnalato le sue scoperte ad Amazon. Il fornitore di servizi cloud ha dichiarato di fare del suo meglio per avvisare tempestivamente i clienti le cui chiavi sono state esposte, in modo che possano agire immediatamente. Amazon incoraggia inoltre gli utenti a implementare protocolli di sicurezza rigorosi. Halcyon suggerisce inoltre ai clienti AWS di impostare policy restrittive che impediscano l'uso di SSE-C sui loro bucket S3. Per quanto riguarda le chiavi AWS, le chiavi inutilizzate dovrebbero essere disabilitate. Infine, quelle attive dovrebbero essere ruotate frequentemente e le autorizzazioni dell'account dovrebbero essere mantenute al livello minimo richiesto.