详细内容或原文请订阅后点击阅览
Codefinger 勒索软件团伙使用受损的 AWS 密钥加密 S3 存储桶
Halcyon 研究人员警告称,勒索软件组织 Codefinger 正在使用被盗的 AWS 密钥通过 SSE-C 加密 S3 存储桶数据。勒索软件组织 Codefinger 被发现使用被盗的 AWS 密钥加密 S3 存储桶中的数据。威胁者使用 AWS 的服务器端加密和客户提供的密钥 (SSE-C) 进行加密,然后要求支付 […]
来源:Security Affairs _恶意软件Codefinger 勒索软件团伙使用受损的 AWS 密钥加密 S3 存储桶
Codefinger 勒索软件团伙使用受损的 AWS 密钥加密 S3 存储桶
Halcyon 研究人员警告称,勒索软件团伙 Codefinger 正在使用受损的 AWS 密钥通过 SSE-C 加密 S3 存储桶数据。
勒索软件团伙 Codefinger 被发现使用受损的 AWS 密钥加密 S3 存储桶中的数据。
威胁行为者使用 AWS 的客户端密钥服务器端加密 (SSE-C) 进行加密,然后要求受害者支付赎金,以使用攻击者解密数据所需的对称 AES-256 密钥恢复数据。
Halcyon 研究人员指出,这次勒索软件活动并未利用任何 AWS 漏洞。
“名为 Codefinger 的威胁行为者使用受损的 AWS 密钥通过 SSE-C 加密 S3 存储桶数据,利用 AWS 的安全加密基础设施,以防止在没有生成密钥的情况下进行恢复。” Halcyon 发布的报告中写道。“AWS CloudTrail 仅记录加密密钥的 HMAC,这不足以进行恢复或取证分析。”
“名为 Codefinger 的威胁行为者使用受损的 AWS 密钥通过 SSE-C 加密 S3 存储桶数据,利用 AWS 的安全加密基础设施,以防止在没有生成密钥的情况下进行恢复。” Halcyon 发布的报告中写道。“AWS CloudTrail 仅记录加密密钥的 HMAC,这不足以进行恢复或取证分析。” 报告研究人员强调,加密文件会在七天内被标记为删除,以向受害者施压。
Halcyon 报告称,至少有两家组织是此次活动的受害者,该公司还敦促使用 Amazon S3 的组织立即采取行动。
攻击者依靠公开披露或泄露的 AWS 密钥来定位具有执行 s3:GetObject 和 s3:PutObject 请求权限的密钥。然后他们通过
s3:GetObject s3:PutObject x-amz-server-side-encryption-customer-algorithm 隔离政策 ( –