האקרים מנצלים את שירות AWS להצפנת נתוני S3 ודורשים כופר

על פי דיווח של bleepingcomputer, קמפיין תקיפה חדש מנצל את שירותי Amazon Web Services (AWS) כדי להצפין נתוני S3 באמצעות שיטת Server-Side Encryption with Customer Provided Keys (SSE-C). המתקפה, בה מעורבת קבוצת התקיפה המכונה “Codefinger,” הובילה לנעילת נתונים של לפחות שני קורבנות, אך החוקרים מזהירים כי הטכניקה עלולה להתרחב למתקפות נוספות בעתיד. 

Amazon S3, שירות אחסון ענן מאובטח ומהיר של AWS, משמש לשמירת קבצים, גיבויים ונתונים שונים. SSE-C מאפשרת ללקוחות להצפין נתונים באמצעות מפתחות הצפנה פרטיים, אותם AWS אינו מאחסן. במקרה זה, ההאקרים הצליחו להשיג גישה לחשבונות AWS של הקורבנות, השתמשו בהרשאות ‘s3:GetObject’ ו-‘s3:PutObject’ להצפנת נתונים באמצעות מפתחות פרטיים שיצרו בעצמם.

המפתחות שההאקרים יצרו לא נגישים ל-AWS או ללקוחות, מה שהופך את שחזור הנתונים לבלתי אפשרי ללא שיתוף פעולה של התוקפים. “באמצעות ניצול שירותים מובנים של AWS, הם יוצרים הצפנה בטוחה ובלתי הפיכה ללא המפתח שלהם,” מסבירים בחברת Halcyon.

בנוסף, התוקפים הפעילו מדיניות מחיקת קבצים אוטומטית לאחר שבעה ימים והשאירו הודעות כופר בספריות המוצפנות. ההודעות דרשו תשלום בביטקוין עבור קבלת מפתח ההצפנה, תוך איום להפסיק את המשא ומתן אם הקורבנות ישנו את הרשאות החשבון או ינסו לשחזר את הקבצים באופן עצמאי.

AWS הגיבה לדיווח והדגישה כי היא מיידעת לקוחות במקרים בהם מתגלים מפתחות חשופים, במטרה לאפשר להם לפעול במהירות. החברה ממליצה ללקוחות לנקוט מדיניות אבטחה מחמירה, כולל מניעת שימוש ב-SSE-C, ניהול קפדני של הרשאות חשבון, וחידוש מפתחות גישה פעילים בתדירות גבוהה.

Halcyon מציינת כי היערכות מוקדמת מצד לקוחות AWS יכולה לצמצם את הסיכון. החברה ממליצה להשבית מפתחות שאינם בשימוש ולהשתמש בכלים מובנים של AWS, כמו שירות IAM Roles ו-AWS Secrets Manager, המפחיתים את הצורך באחסון מפתחות בתצורת קבצים או קוד.

גורם מ-AWS מסר בתגובה: “AWS פועלת בהתאם למודל אחריות משותפת, ומציעה כלים ואמצעים ללקוחות לשמירה על משאבי הענן שלהם. אנו ממליצים ללקוחות לפעול לפי הנחיות האבטחה והציות, ולהיעזר בצוות התמיכה של AWS בכל שאלה.”

האירוע מדגיש את החשיבות הקריטית של יישום מדיניות אבטחת מידע נוקשה ושימוש בכלים מתקדמים להגנה על נתוני ענן.