Halcyon RISE Ekibi, Amazon S3 klasörlerini hedef alan yeni bir Codefinger fidye yazılımı kampanyası tespit etti. Bu saldırı, verileri şifrelemek için AWS’nin Müşteri Tarafından Sağlanan Anahtarlarla Sunucu Tarafı Şifrelemesinden (SSE-C) yararlanıyor ve şifreyi çözmek için gereken simetrik AES-256 anahtarları için fidye ödemeleri talep ediyor.
Halcyon RISE Ekibi, Amazon S3 klasörlerini hedef alan yeni bir fidye yazılımı kampanyasını ortaya çıkardı ve bu, karmaşıklıkta önemli bir artışa işaret ediyor. Bu kampanya, kurban verilerini şifrelemek için AWS’nin Müşteri Tarafından Sağlanan Anahtarlarla Sunucu Tarafı Şifrelemesinden (SSE-C) yararlanıyor ve güçlü bir güvenlik özelliğini hedeflenen kullanıcılara karşı bir silaha dönüştürüyor.
Dosyaları yerel olarak şifreleyen geleneksel fidye yazılımlarından farklı olarak bu saldırı, doğrudan AWS ortamında çalışır ve SSE-C’nin doğasında bulunan güvenlikten yararlanarak saldırganın şifre çözme anahtarları olmadan verileri geri alınamaz hale getirir.
Halcyon’un Hackread.com ile paylaştığı araştırmasına göre, bu kampanya “Codefinger” adlı bir tehdit aktörüne atfediliyor. Saldırı, sosyal mühendislik, kimlik avı saldırıları veya kurbanın altyapısının diğer bölümlerindeki güvenlik açıklarından yararlanarak AWS kimlik bilgilerinin elde edilmesiyle başlar.
Bu kimlik bilgilerine sahip olan Codefinger, bunları S3 klasörlerine erişim sağlamak ve şifreleme sürecini başlatmak için kullanır. Saldırganlar, SSE-C’den yararlanarak verileri, kendi oluşturdukları benzersiz bir AES-256 anahtarını kullanarak şifreler.
Bu saldırının AWS’deki herhangi bir güvenlik açığından yararlanmadığını unutmamak önemlidir. Bunun yerine, tehdit aktörünün öncelikle bir AWS müşterisinin hesap kimlik bilgilerini almasına güvenir. Fidyeyi ödemeden verileri kurtarmanın bilinen bir yöntemi olmadığından bu taktik, fidye yazılımı yeteneklerinde endişe verici bir evrimi temsil ediyor.
Bu saldırının kritik bir yönü, AWS’nin anahtarın kendisini değil, yalnızca şifreleme anahtarının HMAC’sini (Karma Tabanlı Mesaj Kimlik Doğrulama Kodu) günlüğe kaydetmesidir. Bu HMAC, bütünlük doğrulaması sağlasa da veri kurtarma için yetersiz kalıyor ve kurbanlara fidye ödemeden şifre çözmenin hiçbir yolu kalmıyor.
Kurbanlara daha fazla baskı yapmak için Codefinger agresif bir silme programı uyguluyor. Dosyalar, şifrelemeden sonraki yedi gün içinde otomatik olarak silinmek üzere işaretleniyor, bu da aciliyet hissi yaratıyor ve kurbanların fidye talebini ödeme olasılığını artırıyor. Saldırganlar, ödemeyi ve iletişimi kolaylaştırmak için genellikle etkilenen S3 klasörlerine, Bitcoin ödemeleri için talimatlar ve her kurban için benzersiz bir müşteri kimliği sağlayan bir fidye notu bırakır.
Bu kampanyanın sonuçları oldukça önemlidir. Saldırganlar, temel bir AWS güvenlik hizmetinden yararlanarak güvenilir bir mekanizmayı etkili bir şekilde silah haline getirerek veri kurtarmayı önemli ölçüde zorlaştırdı.
Bu yöntem yalnızca verileri erişilemez kılmakla kalmaz, aynı zamanda adli analiz ve kurtarma seçeneklerini de sınırlar. Üstelik bu kampanyanın başarısı, diğer tehdit aktörlerini de benzer taktikleri benimsemeye teşvik edebilir ve bu da potansiyel olarak yerel bulut hizmetlerinden kötü amaçlı amaçlarla yararlanan saldırılarda artışa yol açabilir.
Bulut saldırısı risklerini azaltmak için kuruluşların çok katmanlı bir güvenlik yaklaşımı benimsemesi gerekir. Erişim kontrollerine öncelik vermek, en az ayrıcalık ilkelerini uygulamak ve AWS anahtarlarını dönüşümlü kullanmak önemlidir. SSE-C’nin kullanımını yetkili personel ve belirli kullanım durumlarıyla sınırlayan güçlü IAM politikalarının uygulanması çok önemlidir.
Ayrıca, AWS CloudTrail günlüklerinin toplu şifreleme olayları veya şüpheli erişim kalıpları gibi olağandışı etkinliklere karşı proaktif olarak izlenmesi, erken tespit ve müdahale açısından çok önemlidir.
AWS – Bilgisayar Korsanları İçin Kazançlı Bir Hedef
AWS, ShinyHunters ve Nemesis gibi önde gelen grupların onu istismar etmesiyle siber suçlular için kazançlı bir hedef haline geldi. Üçüncü taraf siber saldırılarda bile AWS anahtarlarının çıkarılması, tehdit aktörlerinin tercih ettiği bir taktik haline geldi. Bu eğilim EC2 Grouper gibi daha yeni gruplara da yayılıyor.
Specops Software Kıdemli Ürün Müdürü Darren James, Hackread.com’a yaptığı bir yorumda şunları söyledi: “Bu, iki faktörlü kimlik doğrulamanın yanı sıra şifrelerin yeniden kullanılmasının veya tahmin edilmesi kolay şifrelere bağlı kalmanın geri geleceğinin harika bir örneğidir.” yöneticileri ısırın.
Darren ayrıca, iki faktörlü kimlik doğrulama olmadan varsayılan şifrelerin yeniden kullanılması veya kullanılması gibi kötü şifre uygulamalarının genellikle fidye yazılımı saldırıları gibi sorunlara yol açtığının altını çizdi. Bu tür olayların önlenmesi için benzersiz şifrelere ve kimlik avına karşı dayanıklı 2FA’ya ihtiyaç duyulduğunu vurguladı.
İLGİLİ KONULAR
- AWS S3 Numaralandırma ormanında
- AWS Yemleriyle Rus Rahat Ayı Kimlik Avı Kritik Sektörleri
- EMERALDWHALE Kimlik Bilgilerini Çalıyor, Verileri S3 Kovasında Saklıyor
- PyPI Üzerindeki Fabrice Kötü Amaçlı Yazılımı 3 Yıl Boyunca AWS Kimlik Bilgilerini Çalıyor
- ALBeast: Yanlış Yapılandırma Kusuru AWS Yük Dengeleyicilerini Riske Maruz Bırakıyor