新しいランサムウェアキャンペーンは、脅威行為者のみが知っているAWSのServer-Side Encryption with Customer Provided Keys (SSE-C)を使用してAmazon S3バケットを暗号化し、復号化キーを受け取るために身代金を要求します。
このキャンペーンはHalcyonによって発見され、”Codefinger “と名付けられた脅威行為者が少なくとも2人の犠牲者を暗号化したことが報告されました。しかし、この作戦はエスカレートする可能性があり、またこの戦術はすぐにでも多くの脅威行為者によって採用される可能性がある。
クラウドストレージの暗号化
Amazon Simple Storage Service(S3)は、Amazon Web Services(AWS)によるスケーラブルで安全かつ高速なオブジェクト・ストレージ・サービスであり、S3バケットはファイル、データ・バックアップ、メディア、ログなどを保存するためのクラウド・ストレージ・コンテナである。
SSE-Cは、静止状態のS3データを保護するための暗号化オプションで、顧客は独自の暗号鍵を使用して、AES-256アルゴリズムを使用してデータを暗号化および復号化できる。AWSはキーを保存せず、顧客はキーの生成、管理、セキュリティ保護に責任を持つ。
Codefingerによる攻撃では、脅威行為者は侵害されたAWS認証情報を使用し、「s3:GetObject」および「s3:PutObject」権限で被害者のキーを見つけ、これらのアカウントでSSE-Cを通じてS3バケット内のオブジェクトを暗号化できるようにした。
攻撃者はその後、ターゲットのデータを暗号化するための暗号鍵をローカルで生成する。
AWSはこれらの暗号鍵を保存しないため、被害者がAmazonに不正行為を報告したとしても、攻撃者の鍵なしでのデータ復旧は不可能だ。
「AWSのネイティブ・サービスを利用することで、攻撃者の協力なしには安全かつ復元不可能な方法で暗号化を実現するのです」とハルシオンは説明する。
次に、攻撃者はS3 Object Lifecycle Management APIを使用して7日間のファイル削除ポリシーを設定し、被害者にカスタムAES-256キーと引き換えに指定されたビットコインアドレスに身代金を支払うよう指示する身代金メモを、影響を受けたすべてのディレクトリに投下する。
この身代金はまた、被害者がアカウントのパーミッションを変更したり、バケット上のファイルを修正しようとすると、攻撃者が一方的に交渉を打ち切り、被害者にはデータを回復する手段がなくなることを警告しています。
コードフィンガーに対する防御
ハルシオンはアマゾンに調査結果を報告し、クラウド・サービス・プロバイダーは、鍵が流出した顧客には速やかに通知し、早急に対処できるよう最善を尽くしていると伝えた。
アマゾンはまた、厳格なセキュリティ・プロトコルを導入し、不正なAWSアカウントのアクティビティ問題を迅速に解決するために、これらのステップに従うことを奨励している。
Halcyonはまた、AWSの顧客がS3バケット上でSSE-Cの使用を防ぐ制限的なポリシーを設定することを提案している。
AWSキーに関しては、未使用のキーは無効にし、アクティブなキーは頻繁にローテーションし、アカウントの権限は必要最小限のレベルに保つべきである。
Comments