某勒索软件团伙正对目标组织的加密数据尝试攻击

admin 2025年1月16日23:03:42评论10 views字数 765阅读2分33秒阅读模式
某勒索软件团伙正对目标组织的加密数据尝试攻击

一个名为 “Codefinger ”的勒索软件团伙正在使用 AWS 的服务器端加密选项和客户提供的密钥(SSE-C)对目标组织的 AWS S3 存储桶中存储的数据进行加密,并要求客户交出他们使用的密钥。

他们不会事先将数据外泄,而是将加密文件标记为在七天内删除,从而增加了企业支付赎金的压力。

攻击是如何展开的?

威胁者利用目标之前泄露的(无论是被盗还是无意泄露的)AWS 密钥,这些密钥拥有读写 S3 对象的权限。“攻击者通过调用 x-amz-server-side-encryption-customer-algorithm 标头,利用他们生成并存储在本地的 AES-256 加密密钥启动加密过程,”Halcyon 研究团队解释道。

“AWS 会在加密操作过程中处理密钥,但不会将其存储起来。相反,AWS CloudTrail 中只记录了一个 HMAC(基于散列的消息验证码)。这个HMAC不足以重建密钥或解密数据。”

因此,如果目标组织没有加密数据的备份,实际上就会被迫付费。而且,在谈判过程中,他们无法对账户权限进行更改,因为攻击者威胁要保持沉默,让受害者束手无策。

该团队表示,将数据存储在 AWS S3 存储桶中的组织应该重视这些信息,并在这种攻击方法被更广泛地采用之前采取行动,使这种攻击成为不可能。(据他们所知,最近几周就有两家机构受到了攻击)。

“使用 IAM 策略中的 “条件 ”元素来防止 SSE-C 应用于 S3 存储桶。可以对策略进行配置,将此功能限制在授权数据和用户范围内,”他们建议说。“定期检查所有 AWS 密钥的权限,确保它们拥有最低要求的访问权限。禁用未使用的密钥,并经常轮换使用中的密钥。”他们还建议为 S3 操作启用详细的日志记录,以便能够快速检测到异常活动并采取相应措施。

(来自:安全客)

某勒索软件团伙正对目标组织的加密数据尝试攻击

原文始发于微信公众号(天锐数据安全):某勒索软件团伙正对目标组织的加密数据尝试攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月16日23:03:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某勒索软件团伙正对目标组织的加密数据尝试攻击https://cn-sec.com/archives/3631181.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息