Sfruttare i servizi nativi AWS: ransomware e crittografia dei bucket Amazon S3 con SSE-C

Un nuovo metodo di ransomware sta emergendo, prendendo di mira i bucket Amazon S3 e sfruttando la funzionalità di Server-Side Encryption con Customer Provided Keys (SSE-C). Questo attacco non dipende da vulnerabilità nei servizi AWS, ma richiede che gli attori malevoli ottengano prima le credenziali dell’account AWS della vittima. Con l’uso di chiavi AES-256 fornite dagli attaccanti, i dati vengono criptati, rendendo impossibile il recupero senza il pagamento del riscatto.

Abuso dei servizi Amazon S3: una minaccia evolutiva

Questo attacco, attribuito al gruppo chiamato Codefinger, rappresenta una sofisticazione nel panorama del ransomware. La sua particolarità risiede nell’uso legittimo delle funzionalità AWS per criptare i dati, impedendone il recupero senza le chiavi create dagli attaccanti. Le informazioni chiave dell’attacco includono:

• Uso di chiavi compromesse: Gli attaccanti identificano chiavi AWS esposte, dotate delle autorizzazioni necessarie per leggere e scrivere dati nei bucket S3.
• Crittografia tramite SSE-C: Viene utilizzata una chiave AES-256 generata e trattenuta dagli attaccanti. AWS, nel processo, registra solo un HMAC della chiave, insufficiente per decrittografare i dati.
• Urgenza del riscatto: Attraverso l’API di gestione dei lifecycle, i file criptati vengono marcati per la cancellazione entro sette giorni, esercitando pressione sulle vittime.

Perché questo metodo è particolarmente pericoloso?

La combinazione di sicurezza integrata AWS e l’uso malevolo di questa funzionalità crea una situazione unica. Una volta criptati, i dati non possono essere recuperati senza le chiavi generate dagli attaccanti, e i log AWS non offrono sufficienti elementi per una ricostruzione.

Questo metodo può diventare rapidamente un modello adottato da altri attori malevoli, ampliando la minaccia per aziende e organizzazioni che si affidano a S3 per l’archiviazione di dati critici.

Mitigazioni e raccomandazioni per proteggersi

Per affrontare questa nuova minaccia, è fondamentale che le organizzazioni adottino misure preventive per rafforzare la sicurezza dei propri ambienti AWS. Di seguito alcune strategie chiave:

• Restrizioni sull’uso di SSE-C: Configurare le politiche IAM per limitare l’uso della crittografia SSE-C solo a utenti e dati autorizzati. Questo può prevenire l’uso non autorizzato di questa funzionalità.
• Audit e monitoraggio delle chiavi AWS: Rivedere regolarmente i permessi delle chiavi AWS, disabilitare quelle non utilizzate e ruotare frequentemente quelle attive. Questo riduce il rischio di compromissioni.
• Implementazione di log avanzati: Abilitare registrazioni dettagliate delle operazioni S3 per rilevare attività anomale, come modifiche di massa o crittografia improvvisa dei file.
• Collaborazione con AWS: Coinvolgere il supporto AWS per identificare vulnerabilità potenziali e implementare misure di sicurezza su misura.

Prevenzione come unico rimedio

Questo attacco dimostra come le funzionalità native di sicurezza possano essere sfruttate in modo malevolo, evidenziando l’importanza di una gestione rigorosa delle credenziali AWS e della sicurezza dei bucket S3. In assenza di una soluzione immediata per decriptare i dati compromessi, la prevenzione è l’unico rimedio. Organizzazioni e aziende che si affidano a AWS devono adottare immediatamente queste misure per mitigare i rischi. Halcyon continuerà a monitorare lo sviluppo di questa campagna, offrendo aggiornamenti e soluzioni per contrastare queste tecniche emergenti.