AWS S3 bucket'larını SSE-C ile şifreleyen fidye yazılımı tespit edildi

Yeni tespit edilen bir fidye yazılım grubu, hedef kuruluşların AWS S3 bucket'larında depolanan verileri şifrelemek için AWS'nin Müşteri Tarafından Sağlanan Anahtarlarla Sunucu Tarafı Şifreleme (SSE-C) özelliğini kullanarak fidye talep ediyor.

Halcyon güvenlik araştırmacıları tarafından yayınlanan yeni bir istihbarat raporunda Codefinger olarak adlandırılan tehdit aktörünün tespit edildiği ve AWS kullanıcılarını hedef aldığı belirtildi.

Tehdit aktörleri tarafından AWS'ye ilişkin herhangi bir güvenlik açığının istismar edilmediği, bunun yerine bir AWS müşterisinin hesap giriş bilgilerinin bir şekilde elde edilmesiyle yapılıyor. Genel olarak darkweb olarak adlandırılan forumlar vb. ya da özellikle Telegram üzerindeki açık yada özel kanallar yoluyla hesap giriş bilgileri satın alınabiliyor.

Elde edilen hesap giriş bilgileri kullanıldıktan sonra, kurbanın 's3:GetObject' ve 's3:PutObject' ayrıcalıklarına sahip anahtarları keşfediliyor. Tehdit aktörü, yerel olarak ürettikleri ve depoladıkları bir AES-256 şifreleme anahtarını kullanarak "x-amz-server-side-encryption-customer-algorithm"  başlığını çağırıyor ve şifreleme işlemini başlatıyor.

SSE-C, müşterilerin kendi şifreleme anahtarlarını kullanarak verilerini AES-256 algoritmasıyla şifrelemelerine ve şifrelerini çözmelerine olanak tanıyan bir seçenek olarak adlandırılıyor. Bu durumda AWS anahtarı saklamıyor ve müşteriler anahtarı oluşturmaktan, yönetmekten ve güvenliğini sağlamaktan sorumlu oluyor

Halcyon, tüm bulguları Amazon ile paylaştığını ve Amazon tarafından hesabı tehlikeye girmiş müşterilerin hızlı bir şekilde bilgilendirildiğini ve aksiyon alındığı belirtildi.