以亚马逊 S3 存储桶为目标的勒索软件活动

一个勒索软件组织正以亚马逊 S3 存储桶为目标，利用 AWS 的服务器端加密技术和客户密钥对存储在其中的数据进行攻击，并索要赎金以换取解锁数据所需的加密密钥。

Halcyon RISE 团队将威胁行为者称为 “Codefinger”，他们发现勒索软件活动并没有利用 AWS 的漏洞。相反，它使用的是已泄露或公开暴露的 AWS 账户凭据。

攻击者利用这些凭据使用 SSE-C 加密 S3 存储桶数据，SSE-C 可以安全地处理加密密钥，而不会将其存储起来。一旦加密，如果没有威胁行为者的解密密钥，数据就无法恢复。

Halcyon 的研究人员说，这一行动已经影响了至少两个组织，并警告说有可能发生复制猫攻击。

研究人员说，加密文件被标记为在七天内删除，这增加了受害者付款的紧迫性。

Codefinger 使用 AWS 本机功能实施攻击。攻击过程首先是识别具有读写S3对象权限的AWS密钥。攻击者使用本地生成和存储的 AES-256 密钥启动加密。AWS 只记录密钥的 HMAC，无法重建或解密数据。生命周期管理策略被篡改，设置了七天的删除窗口，进一步给受害者造成压力。

AWS CloudTrail 有限的日志记录功能阻碍了取证分析，加剧了受害者和调查人员面临的挑战。

Halcyon 敦促企业采取强有力的安全措施来减轻此类威胁。建议包括通过 IAM 策略限制 SSE-C 的使用，定期审计和轮换 AWS 密钥，以及实施高级日志记录以检测异常活动。

AWS 鼓励客户利用其安全工具，如 IAM 角色、Identity Center 和 Secrets Manager，最大限度地减少凭证暴露并提高防御能力。