Вымогатель шифрует бакеты Amazon S3 с помощью технологии AWS Server-Side Encryption with Customer Provided Keys (SSE-C), где ключ известен только самому злоумышленнику. Затем атакующие требуют у жертв выкуп, в ответ обещая предоставить ключ для расшифровки данных.
Эта вредоносная кампания была замечена специалистами компании Halcyon. По данным исследователей, хакер под ником Codefinger зашифровал таким образом информацию как минимум двух жертв.
SSE-C представляет собой вариант шифрования для защиты данных S3, которая позволяет клиентам использовать собственные ключи для шифрования и дешифрования данных с помощью алгоритма AES-256. При этом ключи не хранятся в AWS, и клиенты сами отвечают за их генерацию, а также управление ключами и их защиту.
В атаках Codefinger применялись уже скомпрометированные учетные данные от AWS, после чего злоумышленник находил ключи жертв с привилегиями s3:GetObject и s3:PutObject, которые позволяли взломанным учетным записям шифровать объекты в бакетах S3 с помощью SSE-C. Затем атакующий локально генерировал ключ для шифрования целевых данных.
Поскольку AWS не хранит эти ключи шифрования, восстановление данных оказывалось невозможным без ключа злоумышленника (даже если жертва сообщала Amazon о несанкционированных действиях).
«Злоупотребляя собственными сервисами AWS, злоумышленники добиваются шифрования, которое одновременно безопасно и не может быть отменено без их участия», — объясняют специалисты Halcyon.
Зашифровав данные, злоумышленник устанавливал правило для удаления файлов с помощью S3 Object Lifecycle Management API через семь дней и оставлял во всех затронутых каталогах записки с требованием выкупа. В них жертве предлагалось перевести средства на указанный Bitcoin-адрес и получить в обмен ключ AES-256.
Также пострадавших предупреждали, что если они попытаются изменить права доступа к учетной записи или изменить файлы в бакете, атакующий в одностороннем порядке прервет переговоры, оставив жертву без возможности восстановления данных.
Специалисты Halcyon уведомили об этих атаках представителей Amazon, и в компании сообщили, что делают все возможное, чтобы как можно скорее уведомить о рисках клиентов, ключи которых могли были раскрыты. Эксперты Halcyon, со своей стороны, советуют клиентам AWS устанавливать строгие ограничения, запрещающие использование SSE-C в бакетах S3, а также не забывать о необходимости регулярной ротации ключей.
