Yeni bir fidye yazılımı kampanyası, Amazon S3 klasörlerini yalnızca tehdit aktörünün bildiği AWS’nin Müşteri Tarafından Sağlanan Anahtarlarla (SSE-C) Sunucu Tarafı Şifrelemesini kullanarak şifreliyor ve şifre çözme anahtarını almak için fidye talep ediyor.
Kampanya, “Codefinger” adlı bir tehdit aktörünün en az iki kurbanı şifrelediğini bildiren Halcyon tarafından keşfedildi. Ancak operasyon yoğunlaşabilir veya taktik yakında daha fazla tehdit aktörü tarafından benimsenebilir.
Bulut depolamayı şifreleme
Amazon Simple Storage Service (S3), Amazon Web Services (AWS) tarafından sunulan ölçeklenebilir, güvenli ve yüksek hızlı bir nesne depolama hizmetidir ve S3 klasörleri, dosyaları, veri yedeklemelerini, medyayı, günlükleri vb. depolamak için kullanılan bulut depolama kapsayıcılarıdır.
SSE-C, beklemede olan S3 verilerini korumaya yönelik bir şifreleme seçeneğidir ve müşterilerin AES-256 algoritmasını kullanarak verilerini şifrelemek ve şifrelerini çözmek için kendi şifreleme anahtarlarını kullanmalarına olanak tanır. AWS anahtarı saklamaz ve anahtarın oluşturulması, yönetilmesi ve güvenliğinin sağlanması müşterilerin sorumluluğundadır.
Codefinger tarafından yapılan saldırılarda tehdit aktörleri, kurbanın ‘s3:GetObject’ ve ‘s3:PutObject’ ayrıcalıklarına sahip anahtarlarını bulmak için ele geçirilen AWS kimlik bilgilerini kullandı; bu, bu hesapların SSE-C aracılığıyla S3 klasörlerindeki nesneleri şifrelemesine olanak tanıyor.
Saldırgan daha sonra hedefin verilerini şifrelemek için yerel olarak bir şifreleme anahtarı oluşturur.
AWS bu şifreleme anahtarlarını saklamadığından, kurban yetkisiz etkinliği Amazon’a bildirse bile saldırganın anahtarı olmadan veri kurtarma mümkün değildir.
Halcyon, “AWS yerel hizmetlerini kullanarak hem güvenli hem de işbirliği olmadan kurtarılamaz bir şekilde şifreleme elde ediyorlar” diye açıklıyor.
Daha sonra saldırgan, S3 Nesne Yaşam Döngüsü Yönetimi API’sini kullanarak yedi günlük bir dosya silme politikası belirler ve etkilenen tüm dizinlere, kurbana özel AES-256 anahtarı karşılığında belirli bir Bitcoin adresi için fidye ödemesi talimatını veren fidye notları bırakır.
Fidye ayrıca mağduru, hesap izinlerini değiştirmeye veya klasördeki dosyaları değiştirmeye kalkışmaları halinde saldırganların müzakereleri tek taraflı olarak sonlandıracağı ve kurbanın verilerini kurtarmasının hiçbir yolu olmayacağı konusunda da uyarıyor.
Codefinger’a karşı savunma
Halcyon bulgularını Amazon’a bildirdi ve bulut hizmetleri sağlayıcısı onlara, anahtarları açığa çıkan müşterileri derhal bilgilendirmek ve böylece anında harekete geçebilmeleri için ellerinden geleni yaptıklarını söyledi.
Amazon ayrıca insanları katı güvenlik protokolleri uygulamaya ve yetkisiz AWS hesap etkinliği sorunlarını hızlı bir şekilde çözmek için bu adımları izlemeye teşvik ediyor.
Halcyon ayrıca AWS müşterilerinin S3 klasörlerinde SSE-C kullanımını engelleyen kısıtlayıcı politikalar belirlemelerini de öneriyor.
AWS anahtarları konusunda kullanılmayan anahtarlar devre dışı bırakılmalı, aktif olanların sık sık rotasyonu yapılmalı ve hesap izinleri gereken minimum düzeyde tutulmalıdır.