亚马逊云遭大规模勒索攻击：攻击者掌握数千密钥

· 发现超过1.58亿条泄露的AWS密钥记录，指向1229个唯一凭证。有效的AWS密钥允许列出S3存储桶并检索勒索要求；

· 勒索信表明文件是使用客户提供的密钥（SSE-C）的服务器端加密进行加密的；

· 每名受害者的勒索金额为0.3个比特币（约合25000美元）。

这场恶意活动没有明确的归责，且高度自动化。威胁行为者在名为warning.txt的文件中留下勒索信。每个加密的S3存储桶似乎都有自己的警告和唯一的比特币（BTC）地址。黑客留下了电子邮件地址awsdecrypt[@]techie.com供联系。

攻击者正在利用AWS对付其自己的客户——他们滥用AWS使用客户提供的密钥（SSE-C）的服务器端加密来加密S3存储桶数据。

这意味着攻击者生成自己的加密密钥（AES-256），然后用它来锁定数据，使得没有密钥就无法恢复。

这种攻击模式允许“静默攻击”，在发生泄露时不会向受害者发出警报或报告，也没有文件删除日志。威胁行为者保持存储桶结构完好无损。此外，似乎黑客甚至懒得为了双重勒索而窃取数据。

以前，攻击者已被观察到设置S3生命周期策略，在7天内删除加密数据，进一步向受害者施压以支付赎金。

令人震惊的是，在几起事件中，受影响的AWS环境仍在运行，这表明受害者可能仍然不知道已被入侵。

“一些受害者可能仍然不知道他们的存储桶被加密了，特别是如果受影响的文件很少被访问，或者存储桶用于备份。一些暴露的备份是空的，可能是新创建的，这使未来的项目面临风险，”Diachenko说。

研究人员还指出，攻击者在几起事件中警告受害者不要更改凭证，并通过允许测试文件恢复来提供“解密证明”。

“这一事件标志着云勒索软件战术的重大升级。它的简单性使其特别危险：攻击者只需要偷来的密钥——不需要复杂的漏洞利用，”Diachenko补充道。他们警告说，用强大的AWS原生加密锁定的数据几乎不可能通过暴力破解或其他方式解密。

威胁行为者收集大量AWS密钥的确切方法尚未得到证实。然而，Cybernews研究人员已经确定了几个最合理的假设：

· AWS密钥从公共代码存储库中泄露：秘密凭证经常被错误地提交到GitHub、Bitbucket和类似平台。攻击者然后使用诸如TruffleHog、Gitleaks等工具来抓取这些存储库中的秘密；

· 不安全的CI/CD（持续集成和持续部署）工具：Jenkins或GitLab运行器经常存储AWS密钥。这些密钥可能由于部署配置不当或凭证较弱而暴露；

· Web应用程序中配置不当的.env和config.php或JSON配置文件：这些文件本应保密，但由于配置不当，它们可能会泄露凭证；

· 泄露和攻击：受损的开发人员工具、云仪表板或密码管理器可能是来源。黑客可以从非法市场收集凭证；

· 旧的或遗忘的身份和访问管理（IAM）用户：在许多云环境中，不常轮换和长期存在的非活动IAM用户的凭证太常见了。它们是静默攻击的主要目标。

攻击者还可以通过许多其他方式提取凭证。Cybernews以前的研究发现，iOS应用程序平均包含五个硬编码的秘密，这可能导致泄露和数据泄露。

AWS凭证本应保密。Cybernews研究人员建议使用以下方法进一步加固AWS环境：

· 立即审核所有IAM凭证。禁用未使用的密钥并轮换活跃的密钥；

· 实施AWS Config和GuardDuty以检测可疑访问模式；

· 使用自动化工具扫描公共存储库以查找泄露的秘密；

· 强制使用短期令牌并从应用程序中删除硬编码的凭证；

· 为所有IAM角色应用最小权限原则；

· 监控存储桶中新文件或未知文件，如warning.txt；

· 配置策略以限制SSE-C的使用，并启用详细日志记录以检测异常活动。

Cybernews向AWS披露了暴露的实例。我们还寻求进一步的评论，并将包括他们的回复。AWS鼓励所有客户遵循安全、身份和合规最佳实践。如果客户怀疑受到攻击，他们可以从这篇文章中列出的步骤开始操作，或联系AWS支持。