Як зловмисники шифрують AWS S3 buckets за допомогою SSE-C

Команда Halcyon RISE виявила нову небезпечну кампанію з програм-вимагачів, що використовує сервісне шифрування Amazon S3 із ключами, наданими клієнтами (SSE-C). Зловмисники за допомогою викрадених AWS-ключів шифрують дані, змушуючи жертв сплатити викуп за ключ для розшифрування.

Ця атака становить серйозний ризик для компаній, що зберігають критично важливу інформацію в хмарному середовищі AWS: використовуючи дозволи на читання і запис об’єктів в S3-бакетах, зловмисник шифрує дані за допомогою SSE-C і генерує кастомні ключі AES-256 В AWS ці ключі не зберігаються, тому відновлення даних неможливе без сплати викупу. При цьому CloudTrail фіксує лише HMAC ключів, що унеможливлює їх відтворення або проведення ретельного аналізу.

Ключові етапи атаки:

1. Використання викрадених AWS-ключів для доступу до бакетів із відповідними дозволами.
2. Шифрування даних із використанням SSE-C і власного ключа зловмисника.
3. Встановлення політики життєвого циклу, що видаляє файли через 7 днів, створюючи додатковий тиск на жертв.
4. Залишення записок із вимогою викупу та попередженнями не змінювати права доступу.

Представлений в 2014 році, SSE-C надає клієнтам можливість шифрувати свої дані за допомогою власного ключа. Ця функція, яка колись використовувалася для підвищення безпеки, тепер стала інструментом в руках кіберзлочинців; Halcyon ідентифікувала дві компанії, які постраждали, але не були клієнтами на момент атаки.

Ця атака показує, що легальні хмарні сервіси можуть використовуватися для шифрування даних і погроз викупу. Halcyon закликає організації негайно посилити безпеку своїх середовищ AWS шляхом обмеження використання SSE-C, аудиту ключів доступу, проведення детального моніторингу та роботи з AWS для мінімізації ризиків. Подібні практики можуть поширитися на інші хмарні сервіси, створюючи організаційну загрозу безпеці хмарних даних.