Une nouvelle campagne de ransomware chiffre les compartiments Amazon S3 à l’aide du chiffrement côté serveur d’AWS avec des Clés fournies par le client (SSE-C) connues uniquement de l’auteur de la menace, exigeant des rançons pour recevoir la clé de déchiffrement.
La campagne a été découverte par Halcyon, qui a signalé qu’un acteur de la menace nommé « Codefinger » avait chiffré au moins deux victimes. Cependant, l’opération pourrait s’intensifier ou la tactique pourrait bientôt être adoptée par d’autres acteurs de la menace.
Chiffrement du stockage en nuage
Amazon Simple Storage Service (S3) est un service de stockage d’objets évolutif, sécurisé et à grande vitesse d’Amazon Web Services (AWS), et les compartiments S3 sont des conteneurs de stockage dans le cloud pour stocker des fichiers, des sauvegardes de données, des supports, des journaux, etc.
SSE-C est une option de cryptage pour sécuriser les données S3 au repos, permettant aux clients d’utiliser leur propre clé de cryptage pour crypter et décrypter leurs données à l’aide de l’algorithme AES-256. AWS ne stocke pas la clé et les clients sont responsables de la génération de la clé, de sa gestion et de sa sécurisation.
Dans les attaques de Codefinger, les auteurs de la menace ont utilisé des informations d’identification AWS compromises pour localiser les clés de la victime avec les privilèges « s3: GetObject » et « s3: PutObject », qui permettent à ces comptes de chiffrer des objets dans des compartiments S3 via SSE-C.
L’attaquant génère ensuite une clé de chiffrement localement pour chiffrer les données de la cible.
Étant donné qu’AWS ne stocke pas ces clés de chiffrement, la récupération des données sans la clé de l’attaquant est impossible, même si la victime signale une activité non autorisée à Amazon.
« En utilisant les services natifs AWS, ils réalisent le chiffrement d’une manière à la fois sécurisée et irrécupérable sans leur coopération », explique Halcyon.
Ensuite, l’attaquant définit une stratégie de suppression de fichier de sept jours à l’aide de l’API de gestion du cycle de vie des objets S3 et dépose des notes de rançon sur tous les répertoires affectés qui demandent à la victime de payer une rançon sur une adresse Bitcoin donnée en échange de la clé AES-256 personnalisée.
La rançon avertit également la victime que si elle tente de modifier les autorisations du compte ou de modifier des fichiers sur le compartiment, les attaquants mettront unilatéralement fin aux négociations, ne laissant à la victime aucun moyen de récupérer ses données.
Défense contre Codefinger
Halcyon a rapporté ses conclusions à Amazon, et le fournisseur de services cloud leur a dit qu’ils faisaient de leur mieux pour informer rapidement les clients dont les clés avaient été exposées afin qu’ils puissent prendre des mesures immédiates.
Amazon encourage également les utilisateurs à mettre en œuvre des protocoles de sécurité stricts et à suivre ces étapes pour résoudre rapidement les problèmes d’activité de compte AWS non autorisés.
Halcyon suggère également que les clients AWS définissent des politiques restrictives qui empêchent l’utilisation de SSE-C sur leurs compartiments S3.
En ce qui concerne les clés AWS, les clés inutilisées doivent être désactivées, les clés actives doivent faire l’objet d’une rotation fréquente et les autorisations de compte doivent être maintenues au niveau minimum requis.