Migliaia di chiavi AWS usate in un attacco ransomware

Alcuni ricercatori di sicurezza hanno scoperto una nuova campagna ransomware ai danni dei bucket S3 che ha sfruttato migliaia di chiavi di accesso AWS.

Come si legge su Cybernews, i ricercatori hanno individuato un database di 1.229 coppie di chiavi AWS uniche contenenti l’Access Key ID e il corrispondente Secret Access Key. Un’analisi più approfondita ha portato poi all’individuazione della campagna ransomware, con numerosi bucket S3 completamente cifrati fatta eccezione per la nota del riscatto.

Gli attaccanti hanno sfruttato la crittografia Customer-Provided Keys server-side (SSE-C) per cifrare i dati dei bucket, una tecnica già usata in precedenza in altre campagne ransomware contro AWS. Questo tipo di attacco si basa sul furto delle credenziali dei clienti AWS, senza dover sfruttare eventuali vulnerabilità degli ambienti.

Gli attaccanti, in possesso delle credenziali utente, generano le proprie chiavi di cifratura e le usano per bloccare i dati. “Questo pattern di attacco consente la ‘compromissione silenziosa’, con nessun alert né report notificato alla vittima, né alcun log“. Gli attaccanti lasciano la struttura dei bucket intatta e agiscono solo sui dati, tanto che in diverse istanze le operazioni non si sono interrotte.

Secondo Bob Diachenko, un ricercatore di sicurezza, molte vittime potrebbero non essersi ancora rese conto di avere i bucket cifrati, soprattutto se i file compromessi non vengono usati di frequente o se i bucket vengono usati solo per i backup. “Questo incidente segna un’escalation significativa nelle tattiche dei ransomware cloud” ha affermato Diachenko, “Alcuni backup esposti sono vuoti e potrebbero essere stati creati da poco, mettendo a rischio i progetti futuri“.

Non è ancora chiaro come gli attaccanti siano entrati in possesso delle chiavi AWS. I ricercatori di Cybernews ipotizzano che possano averle raccolte dai repository pubblici, caricate per errore dagli sviluppatori, oppure sfruttando delle configurazioni errate di tool di CI/CD che espongono le credenziali.

Altre possibilità comprendono file di configurazione delle web app con credenziali in chiaro, utenti IAM inattivi di cui non vengono ruotate le chiavi di accesso e in generale qualsiasi tool, dashboard o password manager compromesso.

I ricercatori non sono ancora riusciti a individuare i cybercriminali dietro la campagna ransomware contro i bucket S3 AWS. Stando alle informazioni condivise finora, si tratta di un’operazione altamente automatizzata.

Il team di Cybernews consiglia di aumentare la sicurezza degli ambienti AWS disabilitando le chiavi non utilizzate e ruotando quelle attive. È necessario inoltre implementare AWS Config e GuardDuty per identificare pattern di accesso sospetti e usare tool automatizzati per scansionare repository pubblici in cerca di eventuali chiavi esposte.

Si consiglia infine di applicare il principio del least privilege ai ruoli IAM nei bucket, rimuovere le credenziali hardcoded nelle applicazioni e configurare delle policy per ridurre l’uso della crittografia SSE-C.