S.E.Book

Forwarded from SecAtor

Исследователи Cybernews раскрывают широкомасштабную кампанию по вымогательству, нацеленную на тысячи AWS S3 с использованием украденных ключей доступа.

Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.

Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.

После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.

Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).

При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).

Впервые эту технику применил Codefinger в кампании в декабре прошлого года.

Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.

Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.

Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.

Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.

Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.

У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.

Для обратно связи хакеры указывают awsdecrypt[@]techie.com.

Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.

В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.

Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.

Cybernews

Huge ransomware campaign targets AWS S3 storage: attackers have thousands of keys

A massive database of over 1,200 unique Amazon Web Services (AWS) access keys has been amassed and exploited in a ransomware campaign.

www.tgoop.com/S_E_Book/5391

2.5K viewsApr 18 at 15:32

Исследователи Cybernews раскрывают широкомасштабную кампанию по вымогательству, нацеленную на тысячи AWS S3 с использованием украденных ключей доступа.

Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.

Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.

После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.

Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).

При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).

Впервые эту технику применил Codefinger в кампании в декабре прошлого года.

Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.

Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.

Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.

Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.

Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.

У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.

Для обратно связи хакеры указывают awsdecrypt[@]techie.com.

Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.

В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.

Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.

BY S.E.Book