Ένα νέο κύμα επιθέσεων ransomware στοχεύει περιβάλλοντα αποθήκευσης cloud, εστιάζοντας συγκεκριμένα σε κάδους Amazon Simple Storage Service (S3) που περιέχουν κρίσιμα επιχειρηματικά δεδομένα.
Σε αντίθεση με το παραδοσιακό ransomware που κρυπτογραφεί αρχεία χρησιμοποιώντας κακόβουλο λογισμικό, αυτές οι επιθέσεις εκμεταλλεύονται αδύναμους ελέγχους πρόσβασης και λάθη διαμόρφωσης σε περιβάλλοντα cloud για να κλειδώσουν τους οργανισμούς από τα δικά τους δεδομένα.
Καθώς περισσότερες επιχειρήσεις μεταφέρουν τις δραστηριότητές τους στο cloud, οι εισβολείς προσαρμόζουν τις μεθόδους τους, μετατοπίζοντας από τα συστήματα εσωτερικής εγκατάστασης σε πόρους που βασίζονται σε σύννεφο όπου αποθηκεύονται πολύτιμες πληροφορίες.
Αυτές οι επιθέσεις μπορεί να οδηγήσουν σε πλήρη απώλεια δεδομένων, λειτουργικές διακοπές και σημαντική οικονομική ζημιά, εάν οι οργανισμοί δεν διαθέτουν κατάλληλα συστήματα δημιουργίας αντιγράφων ασφαλείας και ανάκτησης.
Οι παράγοντες απειλών πίσω από αυτές τις καμπάνιες αποκτούν μη εξουσιοδοτημένη πρόσβαση μέσω κλεμμένων διαπιστευτηρίων, κλειδιών πρόσβασης που έχουν διαρρεύσει που βρίσκονται σε δημόσιους χώρους αποθήκευσης κώδικα ή παραβιασμένους λογαριασμούς AWS με υπερβολικές άδειες.
Μόλις μπουν μέσα, εντοπίζουν ευάλωτους κάδους S3 ελέγχοντας για συγκεκριμένες αδυναμίες, όπως η απενεργοποιημένη έκδοση, η προστασία κλειδώματος αντικειμένων που λείπει και τα ακατάλληλα δικαιώματα εγγραφής.
Στη συνέχεια, οι εισβολείς προχωρούν στην κρυπτογράφηση δεδομένων χρησιμοποιώντας διάφορες τεχνικές κρυπτογράφησης, διαγράφουν πρωτότυπα αρχεία ή διεισδύουν ευαίσθητες πληροφορίες πριν απαιτήσουν πληρωμές λύτρων.
Αυτό που καθιστά αυτές τις επιθέσεις ιδιαίτερα επικίνδυνες είναι η ικανότητά τους να χρησιμοποιούν εγγενείς λειτουργίες cloud για τη διεξαγωγή κακόβουλων δραστηριοτήτων, ενώ παραμένουν κρυφές από τα παραδοσιακά εργαλεία παρακολούθησης ασφάλειας.
Ερευνητές ασφάλειας Trend Micro αναγνωρισθείς πέντε διαφορετικές παραλλαγές ransomware που στοχεύουν συγκεκριμένα περιβάλλοντα αποθήκευσης S3, το καθένα χρησιμοποιώντας διαφορετικές μεθόδους επίθεσης για την επίτευξη κρυπτογράφησης ή διαγραφής δεδομένων.
Αυτές οι παραλλαγές κυμαίνονται από τη χρήση κλειδιών κρυπτογράφησης που διαχειρίζονται οι πελάτες με προγραμματισμένα χρονοδιαγράμματα διαγραφής έως τη μόχλευση κρυπτογράφησης από την πλευρά του διακομιστή με κλειδιά που παρέχονται από τον πελάτη και τα οποία το AWS δεν μπορεί να ανακτήσει.
Οι ερευνητές τεκμηρίωσαν τόσο τις παρατηρούμενες τεχνικές επίθεσης που χρησιμοποιούνται σε συμβάντα στον πραγματικό κόσμο όσο και τους πιθανούς μελλοντικούς φορείς επίθεσης από τους οποίους οι οργανισμοί θα πρέπει να προετοιμαστούν για να αμυνθούν.
Η ανάλυσή τους παρέχει λεπτομερείς τεχνικές αναλύσεις για το πώς λειτουργεί κάθε παραλλαγή και ποια μέτρα ασφαλείας μπορούν να αποτρέψουν αυτές τις επιθέσεις.
Μηχανισμός Επίθεσης και Τεχνική Εκτέλεση
Η παραλλαγή της κρυπτογράφησης από την πλευρά του διακομιστή με κλειδιά που παρέχονται από τον πελάτη (SSE-C) αντιπροσωπεύει μία από τις πιο επικίνδυνες μεθόδους επίθεσης, επειδή δημιουργεί κρυπτογραφημένα δεδομένα μόνιμα μη ανακτήσιμα.
Σε αυτήν την προσέγγιση, οι φορείς απειλών αποκτούν πρώτα πρόσβαση σε επίπεδο εγγραφής στους κάδους του θύματος S3 μέσω διαπιστευτηρίων που έχουν παραβιαστεί ή ρόλων IAM που έχουν διαρρεύσει από δημόσια αποθετήρια GitHub.
Μετά τον εντοπισμό κάδων στόχων χωρίς κατάλληλες προστασίες, οι εισβολείς ξεκινούν την κρυπτογράφηση παρέχοντας ένα τοπικά αποθηκευμένο κλειδί κρυπτογράφησης AES-256 μέσω συγκεκριμένων κεφαλίδων αιτημάτων HTTP ή εργαλείων γραμμής εντολών AWS.
Η κρίσιμη πτυχή αυτής της τεχνικής είναι ότι το AWS χρησιμοποιεί το κλειδί κρυπτογράφησης του εισβολέα για την ασφάλεια των δεδομένων, αλλά ποτέ δεν αποθηκεύει το πραγματικό κλειδί στα συστήματά του.
Το AWS καταγράφει μόνο έναν κώδικα ελέγχου ταυτότητας μηνυμάτων που βασίζεται σε Hash (HMAC) του κλειδιού κρυπτογράφησης στα αρχεία καταγραφής CloudTrail, ο οποίος δεν μπορεί να αναστραφεί ή να χρησιμοποιηθεί για την αποκρυπτογράφηση των προστατευμένων δεδομένων.
Αυτό σημαίνει ότι ούτε ο οργανισμός-θύμα ούτε οι ομάδες υποστήριξης AWS μπορούν να ανακτήσουν τις κρυπτογραφημένες πληροφορίες μόλις ο εισβολέας ολοκληρώσει τη διαδικασία κρυπτογράφησης.
Μετά την κρυπτογράφηση όλων των αρχείων στόχων, οι εισβολείς καταθέτουν σημειώσεις λύτρων στους πληττόμενους κάδους, ονομάζοντάς τους συνήθως “ransom-note.txt” ή παρόμοιες παραλλαγές, οι οποίες περιέχουν οδηγίες για πληρωμή και επικοινωνία.
.webp.jpeg)
Ολόκληρη η επίθεση μπορεί να εκτελεστεί γρήγορα και επειδή το κλειδί κρυπτογράφησης υπάρχει μόνο στα συστήματα του εισβολέα, τα θύματα αντιμετωπίζουν μόνιμο κλείδωμα εκτός εάν πληρώσουν τα λύτρα ή έχουν αποθηκευμένα ξεχωριστά αντίγραφα ασφαλείας.
.webp.png)
Οι οργανισμοί μπορούν να προστατεύσουν από αυτήν την παραλλαγή εφαρμόζοντας συγκεκριμένα στοιχεία ελέγχου πολιτικής που αποκλείουν αιτήματα κρυπτογράφησης SSE-C σε επίπεδο κάδου ή μέσω πολιτικών ελέγχου πόρων σε ολόκληρο τον οργανισμό.
Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν τα αρχεία καταγραφής του CloudTrail για ασυνήθιστες δραστηριότητες κρυπτογράφησης SSE-C και να επιβάλλουν πολιτικές που απορρίπτουν τα αιτήματα PutObject που περιέχουν κεφαλίδες αλγορίθμων κρυπτογράφησης που παρέχονται από τον πελάτη, εξαλείφοντας αποτελεσματικά αυτό το διάνυσμα επίθεσης από τα περιβάλλοντα cloud τους.
