Дослідники з компанії Halcyon виявили інноваційну тактику кібервимагання, яка використовує легітимну функціональність Amazon Web Services (AWS) для шифрування корпоративних даних. Зловмисники застосовують вбудований сервіс Server-Side Encryption with Customer Provided Keys (SSE-C) для блокування доступу до інформації в хмарних сховищах Amazon S3.
Технічні особливості нової схеми атак
Хакерське угруповання Codefinger реалізує атаки через компрометацію облікових даних AWS. Отримавши доступ до корпоративної інфраструктури, зловмисники шукають ключі з правами s3:GetObject та s3:PutObject, які дозволяють маніпулювати даними в S3-сховищах. Для шифрування використовується власний ключ AES-256, який зберігається виключно у атакуючих.
Особливості технології SSE-C та її вразливості
SSE-C є стандартним сервісом AWS для шифрування даних користувачів у хмарних сховищах. Ключова особливість технології полягає в тому, що Amazon не зберігає клієнтські ключі шифрування, що унеможливлює відновлення даних без оригінального ключа навіть через службу підтримки AWS. Саме цю особливість експлуатують кіберзлочинці для своїх атак.
Механізм вимагання та тактика шантажу
Після шифрування даних зловмисники налаштовують автоматичне видалення файлів через тиждень за допомогою S3 Object Lifecycle Management API. У зашифрованих каталогах розміщуються вимоги викупу в криптовалюті Bitcoin. Жертв попереджають, що спроби зміни прав доступу призведуть до безповоротної втрати даних.
Рекомендації щодо захисту корпоративних даних
Для захисту від подібних атак експерти рекомендують:
– Встановити суворі обмеження на використання SSE-C
– Впровадити систему регулярної ротації ключів доступу
– Забезпечити постійний моніторинг активності в хмарній інфраструктурі
– Дотримуватися принципу мінімальних привілеїв
Amazon активно реагує на виявлену загрозу та попереджає клієнтів про необхідність посилення заходів безпеки. Організаціям, що використовують сервіси AWS, рекомендується терміново провести аудит безпеки своєї інфраструктури та впровадити додаткові механізми захисту від несанкціонованого шифрування даних.
