Вымогатель шифрует бакеты Amazon S3 с помощью технологии AWS Server-Side Encryption with Customer Provided Keys (SSE-C), где ключ известен только самому злоумышленнику.
Затем атакующие требуют у жертв выкуп, в ответ обещая предоставить ключ для расшифровки данных.
Эта вредоносная кампания была замечена специалистами компании . По данным исследователей, хакер под ником Codefinger зашифровал таким образом информацию как минимум двух жертв.
представляет собой вариант шифрования для защиты данных S3, которая позволяет клиентам использовать собственные ключи для шифрования и дешифрования данных с помощью алгоритма AES-256. При этом ключи не хранятся в AWS, и клиенты сами отвечают за их генерацию, а также управление ключами и их защиту.
В атаках Codefinger применялись уже скомпрометированные учетные данные от AWS, после чего злоумышленник находил ключи жертв с привилегиями s3:GetObject и s3:PutObject, которые позволяли взломанным учетным записям шифровать объекты в бакетах S3 с помощью SSE-C. Затем атакующий локально генерировал ключ для шифрования целевых данных.
Поскольку AWS не хранит эти ключи шифрования, восстановление данных оказывалось невозможным без ключа злоумышленника (даже если жертва сообщала Amazon о несанкционированных действиях).
Зашифровав данные, злоумышленник устанавливал правило для удаления файлов с помощью S3 Object Lifecycle Management API через семь дней и оставлял во всех затронутых каталогах записки с требованием выкупа. В них жертве предлагалось перевести средства на указанный Bitcoin-адрес и получить в обмен ключ AES-256.
Также пострадавших предупреждали, что если они попытаются изменить права доступа к учетной записи или изменить файлы в бакете, атакующий в одностороннем порядке прервет переговоры, оставив жертву без возможности восстановления данных.
Специалисты Halcyon уведомили об этих атаках представителей Amazon, и в компании сообщили, что делают все возможное, чтобы как можно скорее уведомить о рисках клиентов, ключи которых могли были раскрыты. Эксперты Halcyon, со своей стороны, советуют клиентам AWS устанавливать строгие ограничения, запрещающие использование SSE-C в бакетах S3, а также не забывать о необходимости регулярной ротации ключей.
Затем атакующие требуют у жертв выкуп, в ответ обещая предоставить ключ для расшифровки данных.
Эта вредоносная кампания была замечена специалистами компании . По данным исследователей, хакер под ником Codefinger зашифровал таким образом информацию как минимум двух жертв.
представляет собой вариант шифрования для защиты данных S3, которая позволяет клиентам использовать собственные ключи для шифрования и дешифрования данных с помощью алгоритма AES-256. При этом ключи не хранятся в AWS, и клиенты сами отвечают за их генерацию, а также управление ключами и их защиту.
В атаках Codefinger применялись уже скомпрометированные учетные данные от AWS, после чего злоумышленник находил ключи жертв с привилегиями s3:GetObject и s3:PutObject, которые позволяли взломанным учетным записям шифровать объекты в бакетах S3 с помощью SSE-C. Затем атакующий локально генерировал ключ для шифрования целевых данных.
Поскольку AWS не хранит эти ключи шифрования, восстановление данных оказывалось невозможным без ключа злоумышленника (даже если жертва сообщала Amazon о несанкционированных действиях).
Зашифровав данные, злоумышленник устанавливал правило для удаления файлов с помощью S3 Object Lifecycle Management API через семь дней и оставлял во всех затронутых каталогах записки с требованием выкупа. В них жертве предлагалось перевести средства на указанный Bitcoin-адрес и получить в обмен ключ AES-256.
Также пострадавших предупреждали, что если они попытаются изменить права доступа к учетной записи или изменить файлы в бакете, атакующий в одностороннем порядке прервет переговоры, оставив жертву без возможности восстановления данных.
Специалисты Halcyon уведомили об этих атаках представителей Amazon, и в компании сообщили, что делают все возможное, чтобы как можно скорее уведомить о рисках клиентов, ключи которых могли были раскрыты. Эксперты Halcyon, со своей стороны, советуют клиентам AWS устанавливать строгие ограничения, запрещающие использование SSE-C в бакетах S3, а также не забывать о необходимости регулярной ротации ключей.
