Uma nova e sofisticada campanha de ransomware está explorando vulnerabilidades nos serviços de armazenamento da Amazon Web Services (AWS), especificamente nos buckets S3. Ao utilizar a criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-C), o malware, conhecido como Codefinger, está criptografando dados e exigindo resgates para fornecer a chave de descriptografia.
Essa ameaça foi identificada pela Halcyon, que reportou o ataque em pelo menos duas vítimas. No entanto, essa técnica pode se espalhar rapidamente, com outros agentes maliciosos adotando o mesmo método.
O que é o Amazon S3 e a criptografia SSE-C?
O Amazon S3 é um serviço de armazenamento escalável e seguro utilizado para armazenar arquivos, backups, logs e outros tipos de dados. A opção SSE-C permite que o cliente utilize sua própria chave de criptografia para proteger dados armazenados, com a AWS não sendo responsável por guardar ou gerenciar as chaves.
No caso dos ataques do Codefinger, os criminosos usaram credenciais comprometidas da AWS para acessar buckets S3 e localizar as chaves criptográficas das vítimas. Com permissões específicas, como s3:GetObject e s3:PutObject, os atacantes conseguem criptografar os dados usando a criptografia AES-256.
Como o ransomware funciona?
Após acessar o bucket S3, o atacante gera uma chave de criptografia localmente e criptografa os dados armazenados. Como a AWS não mantém cópias dessas chaves, a recuperação dos dados torna-se impossível sem o auxílio do criminoso. Para garantir que os dados sejam irrecuperáveis, os atacantes ainda configuram uma política de exclusão automática de arquivos em sete dias.
Notícias Relacionadas
Segurança cibernética
FBI remove malware PlugX de milhares de computadores hackeados
O FBI removeu o malware PlugX de 4.250 computadores hackeados, desmantelando uma operação de espionagem cibernética vinculada a hackers patrocinados pelo estado chinês.
Ataques cibernéticos
Ataques de malware exploram vulnerabilidades em sites WordPress
Ataques de malware associados ao domínio wp3.xyz comprometeram mais de 5.000 sites WordPress, adicionando administradores desonestos e roubando dados confidenciais por meio de plugins maliciosos.
Em seguida, os invasores colocam notas de resgate nos diretórios afetados, instruindo as vítimas a pagarem um valor específico em Bitcoin, em troca da chave AES-256 necessária para a descriptografia. O aviso também deixa claro que qualquer tentativa de modificar os arquivos ou permissões da conta resultará no término das negociações, deixando os dados irrecuperáveis.
Como se proteger contra o Codefinger?
A Amazon tem feito esforços para notificar rapidamente os clientes cujas chaves possam ter sido comprometidas, permitindo que tomem ações corretivas imediatamente. A empresa também recomenda que seus usuários implementem protocolos de segurança rigorosos, incluindo o uso de autenticação multifatorial e a revisão constante de permissões de acesso.
A Halcyon, por sua vez, sugere que os clientes da AWS adotem políticas mais restritivas para evitar o uso da criptografia SSE-C nos buckets S3, além de desabilitar chaves não utilizadas, rotacionar as chaves ativas regularmente e garantir que as permissões sejam mantidas no mínimo necessário.
Ao adotar essas precauções, os clientes podem reduzir significativamente o risco de se tornarem vítimas desse tipo de ransomware, protegendo dados e informações sensíveis na nuvem.
