Специалисты компании Halcyon обнаружили новую тактику кибервымогательства, при которой злоумышленники используют легитимную функцию Amazon Web Services для шифрования корпоративных данных. Группировка Codefinger применяет технологию Server-Side Encryption with Customer Provided Keys (SSE-C) для блокировки содержимого S3-бакетов, делая его недоступным без контролируемого атакующими ключа дешифрования.
Механизм атаки: использование легитимных инструментов AWS
Атакующие под псевдонимом Codefinger получают первоначальный доступ через скомпрометированные учётные данные AWS — утечки, фишинг или открытые ключи в репозиториях GitHub. Обнаружив ключи с привилегиями s3:GetObject и s3:PutObject, они применяют встроенную функцию SSE-C от Amazon S3 для перешифрования объектов бакета с использованием собственного AES-256-ключа, который остаётся известен только им.
Особенности технологии SSE-C
Server-Side Encryption with Customer Provided Keys — легитимный сервис AWS, позволяющий клиентам использовать собственные ключи шифрования вместо управляемых Amazon. AWS не хранит клиентские ключи SSE-C: после завершения операции ключ нигде не сохраняется на стороне провайдера. Это означает, что ни служба поддержки Amazon, ни судебные органы не могут восстановить данные без оригинального ключа, который контролирует только атакующий.
Тактика вымогателей и механизм шантажа
После шифрования злоумышленники настраивают автоматическое удаление объектов через семь дней с помощью S3 Object Lifecycle Management API. В зашифрованных каталогах размещаются записки с требованием выкупа в биткоинах. Жертвам сообщают, что любые попытки изменить политику доступа или удалить файлы вручную ускорят необратимую потерю данных.
Кто находится в зоне риска
Под угрозой находятся все организации, хранящие чувствительные данные в Amazon S3 и использующие долгосрочные ключи доступа AWS (AWS Access Keys) с широкими правами на запись. Особенно уязвимы компании, где:
- ключи IAM хранятся в коде или публичных репозиториях
- не настроено автоматическое обнаружение аномальной активности в CloudTrail
- политики IAM предоставляют права на
s3:PutObjectбез ограничения по IP или времени - отсутствуют версионирование S3-объектов и защита от удаления (Object Lock)
Рекомендации по защите
Amazon уведомила клиентов о выявленных атаках и активно рассылает предупреждения о компрометации ключей доступа. Организациям рекомендуется незамедлительно принять следующие меры:
- Ограничить или полностью запретить использование SSE-C через политику IAM (
s3:PutEncryptionConfiguration) - Включить версионирование объектов S3 и настроить S3 Object Lock для критичных бакетов
- Ввести регулярную ротацию ключей доступа AWS и перейти на временные учётные данные через IAM Roles
- Настроить AWS CloudTrail и Amazon GuardDuty для обнаружения массовой перезаписи объектов
- Применять принцип наименьших привилегий: ограничить права
s3:PutObjectконкретными бакетами и IP-диапазонами
Дополнительные рекомендации по защите S3-хранилищ опубликованы в официальной документации AWS S3.
