据报道,网络安全公司Cyble最近的一项研究揭示了针对110,000个AWS云环境安全性较差的域名的大规模复杂勒索活动。攻击者利用配置错误的.env文件,这些文件通常包含敏感信息,例如云访问密钥、SaaS API密钥和数据库登录凭据。此漏洞主要存在于忽视基本云安全实践的组织中。
攻击者展示了对云架构的透彻理解,扫描了不安全的Web应用程序,以查找包含身份和访问管理(IAM)密钥的暴露环境文件。他们使用这些密钥执行API调用以验证数据并枚举受感染AWS账户中的用户和S3存储桶。尽管这些密钥最初没有管理权限,但攻击者创建了新的IAM角色并附加了高级策略以提升其访问权限。
那些受影响的组织暴露了环境变量,未能定期更新凭据,并且没有实施最小权限访问模型。这些基本安全协议中的失误使攻击者能够获得未经授权的访问权限,并用赎金票据替换S3存储桶中的数据,要求支付归还数据的费用。Cyble的研究结果强调了遵守云安全最佳实践以防止此类违规行为的至关重要性。