En un preocupante desarrollo para la seguridad en la nube, una nueva campaña de ransomware ha comenzado a utilizar la función de cifrado del lado del servidor con claves proporcionadas por el cliente (SSE-C) de Amazon Web Services (AWS) para cifrar datos almacenados en buckets S3, forzando a las víctimas a pagar un rescate por las claves de descifrado. Este ataque ha sido vinculado a un actor de amenazas conocido como «Codefinger», según un informe reciente de la firma de ciberseguridad Halcyon.
Amazon S3, el popular servicio de almacenamiento en la nube de AWS, permite a los usuarios emplear la función SSE-C para gestionar sus propias claves de cifrado con el algoritmo AES-256, asegurando así sus datos. Sin embargo, los atacantes han explotado credenciales de AWS comprometidas para acceder y utilizar permisos relacionados con ‘s3:GetObject’ y ‘s3:PutObject’. Esto les ha permitido cifrar la información presente en los buckets, utilizando claves generadas por ellos mismos y dejando los datos inaccesibles para los titulares legítimos.
El método de ataque sigue una serie de pasos meticulosos: primero, los delincuentes obtienen acceso a las credenciales de AWS; luego, emplean SSE-C para cifrar los datos almacenados, generando una clave que únicamente ellos poseen. Seguidamente, colocan instrucciones en los directorios afectados, solicitando un rescate en Bitcoin y amenazando con eliminar los datos si se intenta hacer alteraciones sin previo pago. Para aumentar la presión, han configurado la eliminación automática de los datos a los siete días a través de la API de control del ciclo de vida de objetos de S3.
Para hacer frente a esta amenaza, AWS y Halcyon recomiendan una serie de medidas preventivas. Entre estas, se sugiere la restricción del uso de SSE-C y la gestión adecuada de claves, incluyendo la desactivación de claves no utilizadas y la rotación regular de las activas, además de controlar estrictamente los permisos. También se insiste en la importancia de habilitar alertas para detectar actividades no autorizadas, supervisar de cerca el acceso a los buckets S3 y revisar los permisos regularmente. La educación del personal en seguridad y la implementación de autenticación multifactor (MFA) también son cruciales.
Este incidente subraya la creciente sofisticación de los ataques que utilizan servicios nativos de AWS, instando a las organizaciones a reforzar su gestión de seguridad en la nube. «Codefinger» ha aprovechado configuraciones predeterminadas para ejecutar su ofensiva, destacando la urgencia de adoptar una postura de seguridad proactiva para protegerse contra las amenazas en evolución en el panorama digital actual.
