一种新的勒索软件活动正在利用亚马逊AWS的客户提供的密钥服务器端加密(SSE-C)功能加密S3存储桶,只有威胁行为者才知道解密密钥,并要求支付赎金以获取该密钥。
这一活动由Halcyon发现,据其报告,名为“Codefinger”的威胁行为者已至少对两名受害者进行了加密。然而,该行动可能会升级,或者很快会有更多威胁行为者采用这一战术。
亚马逊简单存储服务(S3)是亚马逊云服务(AWS)提供的一种可扩展、安全且高速的对象存储服务,而S3存储桶是用于存储文件、数据备份、媒体、日志等的云存储容器。
SSE-C是一种加密选项,用于确保S3静态数据的安全,允许客户使用自己的加密密钥,通过AES-256算法对数据进行加密和解密。AWS不存储该密钥,客户负责生成、管理和保护密钥。
在Codefinger的攻击中,威胁行为者使用被破解的AWS凭证,利用具有“s3:GetObject”和“s3:PutObject”权限的受害者密钥,定位到S3存储桶中的对象进行SSE-C加密。
然后,攻击者在本地生成一个加密密钥,对目标数据进行加密。
由于AWS不存储这些加密密钥,因此即使受害者向亚马逊报告了未经授权的活动,也无法在没有攻击者密钥的情况下恢复数据。
Halcyon解释道:“通过利用AWS原生服务,他们在不合作的情况下实现了既安全又无法恢复数据的加密。”
接下来,攻击者使用S3对象生命周期管理API设置了一个七天的文件删除策略,并在所有受影响的目录中放置了勒索信,指示受害者在给定的比特币地址上支付赎金以换取自定义的AES-256密钥。
勒索信还警告受害者,如果他们尝试更改账户权限或修改存储桶中的文件,攻击者将单方面终止谈判,使受害者无法恢复其数据。
Halcyon已将其发现报告给亚马逊,云服务提供商表示,他们会尽力及时通知密钥已泄露的客户,以便他们立即采取行动。
亚马逊还鼓励人们实施严格的安全协议,并按照以下步骤快速解决未经授权的AWS账户活动问题。
Halcyon还建议AWS客户设置限制性策略,以防止在其S3存储桶中使用SSE-C。
关于AWS密钥,应禁用未使用的密钥,频繁轮换活跃的密钥,并将账户权限保持在所需的最低级别。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容