一个名为 Codefinger 的新勒索软件组织通过利用受损或公开暴露的 AWS 密钥来利用 AWS 自己的 SSE-C 加密技术对受害者的数据进行加密,从而以 AWS S3 存储桶为目标,从而在没有攻击者生成的 AES-256 密钥的情况下无法访问数据。虽然其他安全研究人员已经记录了加密 S3 存储桶的技术,但“这是我们所知的第一个通过 SSE-C 在野外利用 AWS 的本机安全加密基础设施的实例,”Halcyon RISE 团队的服务副总裁 Tim West 表示。登记。他警告说:“从历史上看,AWS Identity IAM 密钥曾被泄露并用于数据盗窃,但如果这种方法得到广泛采用,可能会给依赖 AWS S3 存储关键数据的组织带来重大的系统性风险。”报告中:…除了加密数据外,Codefinder 还使用 S3 对象生命周期管理 API 标记受感染的文件,以便在 7 天内删除 — 我们被告知,犯罪分子本身不会威胁泄露或出售数据韦斯特说:“这是独一无二的,因为大多数勒索软件运营商和附属攻击者不会直接破坏数据,作为双重勒索计划的一部分,也不会以其他方式向受害者施加压力,要求其支付赎金。”额外的风险“Codefinger 还在每个受影响的目录中留下了勒索字条,其中包括攻击者的比特币地址和与加密数据相关的客户端 ID。”该字条警告说,对帐户权限或文件的更改将结束谈判,”Halcyon 研究人员表示在与 The Register 分享的有关 S3 存储桶攻击的报告中,虽然 West 拒绝透露两名 Codefinger 受害者的姓名或提供任何其他详细信息(包括他们是否支付了赎金要求),但他建议 AWS 客户限制 SSE-C 的使用。 。 “这可以通过利用 IAM 策略中的 Condition 元素来实现,以防止 S3 存储桶上未经授权的 SSE-C 应用,确保只有经过批准的数据和用户才能使用此功能,”他解释道。此外,监控和定期审核 AWS 密钥也很重要,因为这些密钥对于想要闯入公司云环境并窃取数据的各类犯罪分子来说都是非常有吸引力的目标。韦斯特说:“应经常审查权限,以确认它们符合最小权限原则,同时应禁用未使用的密钥,并定期轮换活动密钥以最大程度地减少暴露。” AWS 发言人表示,它会通知受影响的客户暴露的密钥,并“迅速采取任何必要的行动,例如应用隔离策略,以在不破坏客户 IT 环境的情况下最大程度地降低客户的风险。”他们还引导用户阅读这篇文章,了解在发现未经授权的活动时该怎么做。
在 Slashdot 上阅读这个故事的更多内容。