据Cybernews的报告,攻击者利用超过1200个被盗的AWS访问密钥,对AWS S3存储桶中的数据进行加密,并留下勒索信,要求受害者支付0.3比特币(约合2.5万美元)的赎金。
此次攻击的隐蔽性极高,攻击者利用了AWS S3的服务器端加密功能(SSE-C),通过自动生成的AES-256加密密钥对数据进行加密。这种加密方式使得数据所有者在不知情的情况下,数据被悄然锁定,且由于SSE-C不会触发常规的警告或文件删除日志,存储桶的结构也未发生改变,因此许多受害者可能在一段时间内都未能察觉数据已被加密。
研究人员在调查中发现了一个包含超过1.58亿条AWS密钥记录的数据库,其中1229个是独特的登录凭证。这些被盗密钥的来源可能多种多样,包括开发者在公共代码存储网站如GitHub上错误地公开了秘密登录信息、CI/CD工具(如Jenkins)中的漏洞、Web应用程序中配置错误的私有文件、开发工具或密码管理器的数据泄露,以及未被监控的旧IAM用户账户中过时的凭证。
此次勒索软件攻击活动的组织性和危险性极高,攻击者似乎并不依赖复杂的黑客技术,而是单纯利用被盗的AWS密钥来实施攻击。这种攻击方式不仅使得新创建的、原本为空的备份也可能面临风险,而且攻击过程高度自动化,每个受影响的S3存储桶都有一个独特的勒索信,包含特定的比特币支付地址和用于联系攻击者的电子邮件地址。
面对如此严峻的云安全威胁,网络安全专家建议企业立即采取行动,包括审计和更新IAM凭证、实施AWS安全服务、扫描暴露的密钥、强制执行短生命周期的令牌和最小权限原则,以及限制SSE-C的使用,并进行详细的日志记录。AWS自身也提供了多种安全工具和服务,如IAM角色、Identity Center和Secrets Manager等,以帮助客户最大限度地减少凭证暴露的风险并提高防御能力。
原文始发于微信公众号(看雪学苑):赎金高达2.5万美元!AWS S3存储桶遭勒索软件攻击,超1200密钥被盗
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3976191.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论