Nueva Campaña de Ransomware Ataca Buckets de Amazon S3

Iniciado por Dragora, Enero 13, 2025, 02:43:38 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



Una campaña de ransomware ha comenzado a explotar los buckets de Amazon S3 utilizando el cifrado del lado del servidor con claves proporcionadas por el cliente (SSE-C), un mecanismo donde solo el actor de amenazas conoce la clave. Este método permite exigir rescates a las víctimas a cambio de la clave de descifrado.

Detalles del Ataque

Descubierta por Halcyon, la campaña ha sido atribuida a un grupo de amenazas denominado "Codefinger", que ya ha afectado al menos a dos víctimas. Sin embargo, se teme que estas tácticas puedan adoptarse rápidamente por otros actores maliciosos.

Amazon S3 es un servicio de almacenamiento de objetos seguro y escalable de Amazon Web Services (AWS), utilizado para alojar archivos, copias de seguridad y registros, entre otros. Los buckets de S3 pueden ser cifrados con SSE-C, que utiliza claves de cifrado proporcionadas y gestionadas por el cliente.

En estos ataques, los actores maliciosos emplean credenciales de AWS comprometidas para identificar claves con privilegios como s3:GetObject y s3:PutObject, lo que les permite cifrar los objetos almacenados. Los atacantes generan claves AES-256 locales para este propósito. Dado que AWS no almacena estas claves, las víctimas no pueden recuperar los datos sin la clave proporcionada por el atacante.

CitarHalcyon explicó:

"Al utilizar los servicios nativos de AWS, logran el cifrado de una manera que es segura e irrecuperable sin su cooperación".

Método de Extorsión

Después del cifrado, los atacantes configuran una política de eliminación de archivos en siete días utilizando la API de gestión del ciclo de vida de objetos de S3. Además, colocan notas de rescate que instruyen a las víctimas a pagar un rescate en Bitcoin a cambio de la clave de descifrado. Las notas advierten que cualquier intento de cambiar permisos o modificar los datos puede terminar unilateralmente las negociaciones.

Medidas de Defensa

Halcyon notificó a Amazon sobre esta campaña. AWS afirmó que se esfuerza por alertar rápidamente a los clientes con claves expuestas, fomentando la adopción de protocolos de seguridad más estrictos.

Entre las recomendaciones de Halcyon para mitigar estos ataques se incluyen:

  • Restringir el uso de SSE-C: Implementar políticas que deshabiliten esta opción en buckets de S3.
  • Gestionar claves de AWS:
  • Deshabilitar las claves no utilizadas.
  • Rotar claves activas con frecuencia.
  • Mantener los permisos en un nivel mínimo necesario.
  • Auditorías periódicas: Revisar actividades no autorizadas y fortalecer la configuración de seguridad de AWS.

En conclusión, este tipo de ataques subraya la necesidad de una gestión robusta de credenciales y políticas de seguridad en la nube. Mantener configuraciones restrictivas y realizar auditorías regulares puede ser crucial para evitar incidentes de ransomware en entornos de almacenamiento como Amazon S3.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta