Специалисты компании Halcyon обнаружили новую тактику кибервымогательства, использующую легитимную функцию шифрования Amazon Web Services (AWS). Злоумышленники применяют технологию Server-Side Encryption with Customer Provided Keys (SSE-C) для шифрования данных в облачных хранилищах Amazon S3, делая их недоступными без специального ключа дешифрования.
Механизм атаки: использование легитимных инструментов AWS
Атакующие, действующие под псевдонимом Codefinger, используют скомпрометированные учетные данные AWS для доступа к корпоративным облачным хранилищам. После получения доступа они находят ключи с привилегиями s3:GetObject и s3:PutObject, позволяющие манипулировать данными в S3-бакетах. Злоумышленники применяют встроенную функцию SSE-C для шифрования данных с использованием собственного ключа AES-256, который остается известен только им.
Особенности технологии SSE-C
Server-Side Encryption with Customer Provided Keys представляет собой легитимный сервис AWS, позволяющий клиентам использовать собственные ключи шифрования для защиты данных в S3. Важная особенность SSE-C заключается в том, что AWS не хранит клиентские ключи шифрования, что делает невозможным восстановление данных без оригинального ключа – даже при обращении в службу поддержки Amazon.
Тактика вымогателей и механизм шантажа
После шифрования данных злоумышленники настраивают автоматическое удаление файлов через семь дней, используя S3 Object Lifecycle Management API. В зашифрованных каталогах размещаются записки с требованием выкупа в криптовалюте Bitcoin. Атакующие предупреждают жертв, что попытки изменения прав доступа или манипуляции с файлами приведут к потере возможности восстановления данных.
Рекомендации по защите
Эксперты Halcyon рекомендуют организациям принять следующие меры безопасности:
— Установить строгие ограничения на использование SSE-C в S3-бакетах
— Внедрить регулярную ротацию ключей доступа
— Мониторить подозрительную активность в облачной инфраструктуре
— Применять принцип наименьших привилегий при назначении прав доступа
Amazon уже отреагировала на ситуацию и активно уведомляет клиентов о потенциальных рисках компрометации их ключей доступа. Организациям, использующим облачные сервисы AWS, настоятельно рекомендуется провести аудит безопасности своей инфраструктуры и усилить меры защиты от подобных атак.