Una nueva campaña de ransomware, atribuida a un actor de amenazas conocido como «Codefinger», ha comenzado a aprovechar la función Server-Side Encryption con claves proporcionadas por el cliente (SSE-C) de Amazon Web Services (AWS) para cifrar datos almacenados en buckets S3. Este ataque obliga a las víctimas a pagar un rescate para obtener las claves de descifrado necesarias, según un informe de Halcyon.

¿Qué es la función SSE-C y cómo la utilizan los atacantes?

Amazon S3 (Simple Storage Service) es un servicio de almacenamiento en la nube ampliamente utilizado por empresas para guardar archivos, copias de seguridad, registros y otros datos. La función SSE-C permite a los clientes gestionar sus propias claves de cifrado, utilizando el algoritmo AES-256 para proteger los datos almacenados.

Sin embargo, en los ataques recientes, los ciberdelincuentes han explotado credenciales de AWS comprometidas para ubicar claves asociadas con permisos de ‘s3:GetObject’ y ‘s3:PutObject’, lo que les permite cifrar los datos almacenados en los buckets S3 utilizando sus propias claves de cifrado generadas localmente.

Una vez cifrados, los datos quedan inaccesibles para las víctimas, ya que AWS no almacena las claves de cifrado utilizadas en SSE-C. Esto significa que, incluso si las víctimas informan de actividad no autorizada a AWS, no hay forma de recuperar los datos sin la cooperación de los atacantes.

Método del ataque

1. Compromiso inicial: Los atacantes obtienen credenciales válidas de AWS con permisos específicos para acceder y modificar datos en los buckets S3.
2. Cifrado de datos: Utilizan SSE-C para cifrar los datos almacenados en los buckets, generando una clave personalizada que solo ellos poseen.
3. Nota de rescate: Colocan instrucciones de pago en los directorios afectados, exigiendo un rescate en Bitcoin para proporcionar la clave AES-256 necesaria para el descifrado. Además, amenazan con eliminar los datos si las víctimas intentan cambiar permisos o modificar los archivos.
4. Política de eliminación: Configuran un período de eliminación automática de siete días mediante la API de gestión del ciclo de vida de objetos S3, intensificando la presión sobre las víctimas para que paguen rápidamente.

Recomendaciones para protegerse

AWS y Halcyon han sugerido varias medidas para prevenir ataques similares:

1. Restringir el uso de SSE-C: Configurar políticas que deshabiliten la función SSE-C en los buckets S3.
2. Gestión de claves:
   • Desactivar claves no utilizadas.
   • Rotar regularmente las claves activas.
   • Implementar un control estricto de permisos, limitándolos al mínimo necesario.
3. Monitoreo y notificación:
   • Habilitar alertas para detectar actividad no autorizada.
   • Supervisar el acceso a los buckets S3 y revisar los permisos regularmente.
4. Educación y protocolos de seguridad:
   • Formar al personal para reconocer intentos de phishing y proteger credenciales de acceso.
   • Implementar autenticación multifactor (MFA) en todas las cuentas de AWS.

Una advertencia para el futuro

La utilización de servicios nativos de AWS para llevar a cabo ataques sofisticados como este subraya la necesidad de una gestión robusta de la seguridad en entornos de nube. Si bien Amazon actúa rápidamente para notificar a los clientes sobre posibles compromisos, los usuarios deben asumir un papel proactivo en la implementación de medidas preventivas.

El ataque de «Codefinger» destaca los riesgos de confiar en configuraciones predeterminadas y subraya la importancia de mantener una postura de seguridad proactiva frente a amenazas emergentes en la nube.

vía: Bleeping computer