亚马逊云遭大规模勒索攻击:攻击者掌握数千密钥

admin 2025年4月23日00:45:12评论13 views字数 2256阅读7分31秒阅读模式
亚马逊云遭大规模勒索攻击:攻击者掌握数千密钥

在一场勒索软件运动中,一个包含1200多个唯一亚马逊网络服务(AWS)访问密钥的大型数据库被收集并利用。

暴露的AWS S3存储桶的管理员发现,他们的文件被加密了,只有一份要求用比特币支付的勒索信。

然而,进一步的调查发现了一场恶意活动,涉及抓取或以其他方式收集AWS密钥、加密存储桶并要求支付赎金。

亚马逊云遭大规模勒索攻击:攻击者掌握数千密钥亚马逊云遭大规模勒索攻击:攻击者掌握数千密钥

研究人员将列表缩小到 1229 个唯一的 AWS 密钥对,其中包含访问密钥 ID 和相应的秘密访问密钥。许多密钥对已经轮换。

但是,活跃且有效的密钥对导致S3存储桶中的数据被加密,并包含勒索信。

一个未知的威胁行为者正在滥用AWS的原生服务器端加密来隐藏自己。

“这是一起罕见且可能是前所未有的协调勒索运动,它利用泄露的AWS凭证对存储在S3存储桶中的数据应用服务器端加密(SSE-C),而无需所有者互动或察觉,”网络安全研究人员、SecurityDiscovery.com所有者Bob Diachenko说。

关键要点总结

· 发现超过1.58亿条泄露的AWS密钥记录,指向1229个唯一凭证。有效的AWS密钥允许列出S3存储桶并检索勒索要求;

· 勒索信表明文件是使用客户提供的密钥(SSE-C)的服务器端加密进行加密的;

· 每名受害者的勒索金额为0.3个比特币(约合25000美元)。

一些受害者仍然不知情

这场恶意活动没有明确的归责,且高度自动化。威胁行为者在名为warning.txt的文件中留下勒索信。每个加密的S3存储桶似乎都有自己的警告和唯一的比特币(BTC)地址。黑客留下了电子邮件地址awsdecrypt[@]techie.com供联系。

攻击者正在利用AWS对付其自己的客户——他们滥用AWS使用客户提供的密钥(SSE-C)的服务器端加密来加密S3存储桶数据。

亚马逊云遭大规模勒索攻击:攻击者掌握数千密钥 亚马逊云遭大规模勒索攻击:攻击者掌握数千密钥

这意味着攻击者生成自己的加密密钥(AES-256),然后用它来锁定数据,使得没有密钥就无法恢复。

这种攻击模式允许“静默攻击”,在发生泄露时不会向受害者发出警报或报告,也没有文件删除日志。威胁行为者保持存储桶结构完好无损。此外,似乎黑客甚至懒得为了双重勒索而窃取数据。

以前,攻击者已被观察到设置S3生命周期策略,在7天内删除加密数据,进一步向受害者施压以支付赎金。

令人震惊的是,在几起事件中,受影响的AWS环境仍在运行,这表明受害者可能仍然不知道已被入侵。

“一些受害者可能仍然不知道他们的存储桶被加密了,特别是如果受影响的文件很少被访问,或者存储桶用于备份。一些暴露的备份是空的,可能是新创建的,这使未来的项目面临风险,”Diachenko说。

研究人员还指出,攻击者在几起事件中警告受害者不要更改凭证,并通过允许测试文件恢复来提供“解密证明”。

“这一事件标志着云勒索软件战术的重大升级。它的简单性使其特别危险:攻击者只需要偷来的密钥——不需要复杂的漏洞利用,”Diachenko补充道。他们警告说,用强大的AWS原生加密锁定的数据几乎不可能通过暴力破解或其他方式解密。

黑客如何收集AWS密钥?

威胁行为者收集大量AWS密钥的确切方法尚未得到证实。然而,Cybernews研究人员已经确定了几个最合理的假设:

亚马逊云遭大规模勒索攻击:攻击者掌握数千密钥

· AWS密钥从公共代码存储库中泄露:秘密凭证经常被错误地提交到GitHub、Bitbucket和类似平台。攻击者然后使用诸如TruffleHog、Gitleaks等工具来抓取这些存储库中的秘密;

· 不安全的CI/CD(持续集成和持续部署)工具:Jenkins或GitLab运行器经常存储AWS密钥。这些密钥可能由于部署配置不当或凭证较弱而暴露;

· Web应用程序中配置不当的.env和config.php或JSON配置文件:这些文件本应保密,但由于配置不当,它们可能会泄露凭证;

· 泄露和攻击:受损的开发人员工具、云仪表板或密码管理器可能是来源。黑客可以从非法市场收集凭证;

· 旧的或遗忘的身份和访问管理(IAM)用户:在许多云环境中,不常轮换和长期存在的非活动IAM用户的凭证太常见了。它们是静默攻击的主要目标。

攻击者还可以通过许多其他方式提取凭证。Cybernews以前的研究发现,iOS应用程序平均包含五个硬编码的秘密,这可能导致泄露和数据泄露。

保护您的云存储桶

AWS凭证本应保密。Cybernews研究人员建议使用以下方法进一步加固AWS环境:

亚马逊云遭大规模勒索攻击:攻击者掌握数千密钥

· 立即审核所有IAM凭证。禁用未使用的密钥并轮换活跃的密钥;

· 实施AWS Config和GuardDuty以检测可疑访问模式;

· 使用自动化工具扫描公共存储库以查找泄露的秘密;

· 强制使用短期令牌并从应用程序中删除硬编码的凭证;

· 为所有IAM角色应用最小权限原则;

· 监控存储桶中新文件或未知文件,如warning.txt;

· 配置策略以限制SSE-C的使用,并启用详细日志记录以检测异常活动。

Cybernews向AWS披露了暴露的实例。我们还寻求进一步的评论,并将包括他们的回复。AWS鼓励所有客户遵循安全、身份和合规最佳实践。如果客户怀疑受到攻击,他们可以从这篇文章中列出的步骤开始操作,或联系AWS支持。

原文作者:Ernestas Naprys

原文标题:《Huge ransomware campaign targets AWS S3 storage: attackers have thousands of keys》

原文链接:https://cybernews.com/security/aws-cloud-storage-bucket-ransomware-attacks/

原文始发于微信公众号(安在):亚马逊云遭大规模勒索攻击:攻击者掌握数千密钥

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月23日00:45:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   亚马逊云遭大规模勒索攻击:攻击者掌握数千密钥https://cn-sec.com/archives/3971018.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息