Een nieuwe ransomware-campagne, toegeschreven aan een dreigingsactor genaamd “Codefinger”, is begonnen met het benutten van de functie Server-Side Encryption met door de klant verstrekte sleutels (SSE-C) van Amazon Web Services (AWS) om gegevens te versleutelen die zijn opgeslagen in S3-buckets. Deze aanval dwingt slachtoffers om losgeld te betalen om de benodigde ontsleutelingssleutels te verkrijgen, volgens een rapport van Halcyon.
Wat is de SSE-C-functie en hoe gebruiken aanvallers het?
Amazon S3 (Simple Storage Service) is een cloudopslagservice die veel gebruikt wordt door bedrijven om bestanden, backups, logs en andere gegevens te bewaren. De functie SSE-C stelt klanten in staat om zelf hun encryptiesleutels te beheren, waarbij het AES-256 algoritme wordt gebruikt om de opgeslagen gegevens te beveiligen.
In recente aanvallen hebben cybercriminelen echter gecompromitteerde AWS-credentials uitgebuit om sleutels te vinden die geassocieerd zijn met ‘s3:GetObject’ en ‘s3:PutObject’ permissies, waarmee ze gegevens die in de S3-buckets zijn opgeslagen, kunnen versleutelen met hun eigen lokaal gegenereerde encryptiesleutels.
Eenmaal versleuteld zijn de gegevens niet meer toegankelijk voor de slachtoffers, aangezien AWS de gebruikte encryptiesleutels in SSE-C niet opslaat. Dit betekent dat zelfs als slachtoffers niet-geautoriseerde activiteit aan AWS melden, er geen manier is om de gegevens te herstellen zonder de samenwerking van de aanvallers.
Methode van de aanval
- Initiële compromissering: Aanvallers verkrijgen geldige AWS-credentials met specifieke permissies om toegang te krijgen tot en gegevens in de S3-buckets te wijzigen.
- Data encryptie: Ze gebruiken SSE-C om de gegevens opgeslagen in de buckets te versleutelen, waarbij ze een gepersonaliseerde sleutel genereren die alleen zij bezitten.
- Losgeldbrief: Ze plaatsen betalingsinstructies in de getroffen mappen, waarbij ze om losgeld in Bitcoin vragen om de benodigde AES-256 sleutel voor ontcijfering te verstrekken. Bovendien dreigen ze de gegevens te verwijderen als de slachtoffers proberen om permissies te wijzigen of de bestanden te bewerken.
- Verwijderingsbeleid: Ze stellen een automatische verwijderingsperiode van zeven dagen in via de APIEen API, Afkorting van “Application Programming Interface”… van het lifecycle management van S3-objecten en verhogen zo de druk op de slachtoffers om snel te betalen.
Aanbevelingen om je te beschermen
AWS en Halcyon hebben verschillende maatregelen voorgesteld om gelijkaardige aanvallen te voorkomen:
- Beperk het gebruik van SSE-C: Stel beleid in dat de SSE-C-functie uitschakelt in S3-buckets.
- Sleutelbeheer:
- Deactiveer ongebruikte sleutels.
- Roteer regelmatig actieve sleutels.
- Implementeer strikte controle over toestemmingen, beperk ze tot het noodzakelijke minimum.
- Monitoring en melding:
- Schakel waarschuwingen in om ongeautoriseerde activiteit op te sporen.
- Houd toegang tot de S3-buckets in de gaten en beoordeel regelmatig de permissies.
- Educatie en beveiligingsprotocollen:
- Train personeel om phishingpogingen te herkennen en toegangscredentials te beschermen.
- Implementeer multifactor authenticatie (MFA) op alle AWS-accounts.
Een waarschuwing voor de toekomst
Het gebruik van AWS native diensten voor het uitvoeren van geavanceerde aanvallen zoals deze onderstreept de noodzaak van robuuste beveiligingsbeheer in cloudomgevingen. Hoewel Amazon snel handelt om klanten te informeren over mogelijke compromissen, moeten gebruikers een proactieve rol spelen bij het implementeren van preventieve maatregelen.
De aanval van “Codefinger” benadrukt de risico’s van het vertrouwen op standaardconfiguraties en het belang van het onderhouden van een proactieve beveiligingshouding in het licht van opkomende bedreigingen in de cloud.
via: Bleeping Computer