[5]以亚马逊 S3 存储桶为目标的勒索软件活动-小百科

小百科,大世界
一个勒索软件组织正以亚马逊 S3 存储桶为目标，利用 AWS 的服务器端加密技术和客户密钥对存储在其中的数据进行攻击，并索要赎金以换取解锁数据所需的加密密钥。 Halcyon RISE 团队将威胁行为者称为 “Codefinger”，他们发现勒索软件活动并没有利用 AWS 的漏洞。相反，它使用的是已泄露或公开暴露的 AWS 账户凭据。攻击者利用这些凭据使用 SSE-C 加密 S3 存储桶数据，SSE-C 可以安全地处理加密密钥，而不会将其存储起来。一旦加密，如果没有威胁行为者的解密密钥，数据就无法恢复。 Halcyon 的研究人员说，这一行动已经影响了至少两个组织，并警告说有可能发生复制猫攻击。研究人员说，加密文件被标记为在七天内删除，这增加了受害者付款的紧迫性。 Codefinger 使用 AWS 本机功能实施攻击。攻击过程首先是识别具有读写S3对象权限的AWS密钥。攻击者使用本地生成和存储的 AES-256 密钥启动加密。AWS 只记录密钥的 HMAC，无法重建或解密数据。生命周期管理策略被篡改，设置了七天的删除窗口，进一步给受害者造成压力。 AWS CloudTrail 有限的日志记录功能阻碍了取证分析，加剧了受害者和调查人员面临的挑战。 Halcyon 敦促企业采取强有力的安全措施来减轻此类威胁。建议包括通过 IAM 策略限制 SSE-C 的使用，定期审计和轮换 AWS 密钥，以及实施高级日志记录以检测异常活动。 AWS 鼓励客户利用其安全工具，如 IAM 角色、Identity Center 和 Secrets Manager，最大限度地减少凭证暴露并提高防御能力。本文翻译自govinfosecurity 原文链接。如若转载请注明出处。商务合作，文章发布请联系 anquanke@360.cn 本文由安全客原创发布转载，请参考转载声明，注明出处： /post/id/303515 安全KER - 有思想的安全新媒体 [来源: 安全客]
首页 / 计算机 / IT资讯

一个勒索软件组织正以亚马逊 S3 存储桶为目标，利用 AWS 的服务器端加密技术和客户密钥对存储在其中的数据进行攻击，并索要赎金以换取解锁数据所需的加密密钥。

Halcyon RISE 团队将威胁行为者称为 “Codefinger”，他们发现勒索软件活动并没有利用 AWS 的漏洞。相反，它使用的是已泄露或公开暴露的 AWS 账户凭据。

攻击者利用这些凭据使用 SSE-C 加密 S3 存储桶数据，SSE-C 可以安全地处理加密密钥，而不会将其存储起来。一旦加密，如果没有威胁行为者的解密密钥，数据就无法恢复。

Halcyon 的研究人员说，这一行动已经影响了至少两个组织，并警告说有可能发生复制猫攻击。

研究人员说，加密文件被标记为在七天内删除，这增加了受害者付款的紧迫性。

Codefinger 使用 AWS 本机功能实施攻击。攻击过程首先是识别具有读写S3对象权限的AWS密钥。攻击者使用本地生成和存储的 AES-256 密钥启动加密。AWS 只记录密钥的 HMAC，无法重建或解密数据。生命周期管理策略被篡改，设置了七天的删除窗口，进一步给受害者造成压力。

AWS CloudTrail 有限的日志记录功能阻碍了取证分析，加剧了受害者和调查人员面临的挑战。

Halcyon 敦促企业采取强有力的安全措施来减轻此类威胁。建议包括通过 IAM 策略限制 SSE-C 的使用，定期审计和轮换 AWS 密钥，以及实施高级日志记录以检测异常活动。

AWS 鼓励客户利用其安全工具，如 IAM 角色、Identity Center 和 Secrets Manager，最大限度地减少凭证暴露并提高防御能力。

本文翻译自govinfosecurity 原文链接。如若转载请注明出处。

商务合作，文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载，请参考转载声明，注明出处： /post/id/303515

安全KER - 有思想的安全新媒体

[来源: 安全客]

[5]以亚马逊 S3 存储桶为目标的勒索软件活动 繁體

[5]以亚马逊 S3 存储桶为目标的勒索软件活动 ^繁體